guide pca sgdsn 120613 web

Guide

pour réaliser un

plan de continuitéd’activité

Premier ministre

édition 2013

conception / secrétariat général de la défense et de la sécurité nationale

remerciement à aCCess2s - alain Coursaget

réalisation graphique�#�9:=@�$&�(+�(+�$'�&$�#�kkk"YÃ`"Zf

1Guide pour réaliser un plan de continuité d’activité

pourquoi élaborer un plan de continuité d’activité ?

1.1 Quelques bonnes raisons d’entreprende une démarche

de continuité d’activité 03

1.2 Qu’est-ce qu’un PCA ? 04

1.3 L’ambition de ce guide 05

1

la démarche présentéepar étapes

comment élaborer un plan de continuité d’activité ?

2.1 Le contenu du PCA 06

2.2 L’organisation requise 07

2.3 La méthode d’élaboration du PCA 08

2.3.1 8�Ã�b]f�̀ Y�WcbhYlhY�Yh�̀ Yg�cV^YWh]Zg�XY�̀ »cf[Ub]gUh]cb�� $, 2.3.2 =XYbh]Ã�Yf�Yh�ZcfaU`]gYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h�� $- 2.3.3 =XYbh]Ã�Yf�Yh�[�fYf�̀ Yg�f]geiYg�df]cf]hU]fYg�� $- 2.3.4 Choisir les scénarios à prendre en compte 10

2.3.5 Formaliser les moyens et procédures 10

2.3.6 8�Ã�b]f�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h�� %& 2.3.7 Gd�W]Ã�Yf�̀ Yg�dfcW�XifYg�XY�[Ygh]cb�XY�Wf]gY� et de communication 13

2.3.8 Rédiger le plan de continuité et la documentation associée 13

2.3.9 Assurer la capacité de mise en œuvre du plan 13

2.3.10 :U]fY��jc`iYf�̀ Y�d`Ub�.�YlYfW]WYg�Yh�fYhcifg�X»Yld�f]YbWY�� %(

2

les fiches pratiques

Fiche 1 Comment lancer une démarche de PCA ? 18

Fiche 2 :U]fY�̀ Y�W\c]l�X»ibY�X�aUfW\Y�Wcad`�hY�ci�g]ad`]Ã�Y�� %-Fiche 3 8�Ãb]f�̀ Y�d�f]a�hfY�Xi�D75� &$Fiche 4 =XYbh]ÃYf�̀ Yg�cV^YWh]Zg�Yh�̀ Yg�UWh]j]h�g�YggYbh]Y``Yg�� &%Fiche 5 7Ufhc[fUd\]Yf�̀ Yg�dfcWYggig�Yh�̀ Yg�Äil�Yh�X�Ãb]f�̀ Yif�Wf]h]W]h�� &&Fiche 6 =XYbh]ÃYf�Yh�ZcfaU`]gYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h�� &'Fiche 7 =XYbh]ÃYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�̀ Yg�fYggcifWYg�Wf]h]eiYg�� &)Fiche 8 Mesurer les conséquences d’une interruption de service 27

Fiche 9 @U�X�aUfW\Y�XY�[Ygh]cb�Xi�f]geiY�dcif�̀ Yg�UWh]j]h�g�YggYbh]Y``Yg�� &-Fiche 10 =XYbh]ÃYf�̀ Yg�f]geiYg� '$Fiche 11 Analyser et caractériser les risques 32

Fiche 12 Évaluer les risques 34

Fiche 13 HfU]hYf �hfUbgZ�fYf ��j]hYf�ci�UWWYdhYf�̀ Yg�f]geiYg�]XYbh]Ã�g�� '*Fiche 14 Quels scénarios de risques prendre en compte ? 37

Fiche 15 8�Ãb]f�̀ Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�̀ U�fYdf]gY�X»UWh]j]h�� '-Fiche 16 8�Ãb]f�̀ Yg�Yl][YbWYg�dcif�̀ Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75�� (&Fiche 17 8�Ãb]f�̀ Yg�Yl][YbWYg�j]g!{!j]g�XYg�dUfhYbU]fYg�� ()Fiche 18 @Yg�fY`Uh]cbg�UjYW�̀ Yg�gYfj]WYg�XY�̀ »vhUh�� (-Fiche 19 Le bilan coût/avantage d’un PCA. Comment arbitrer ? 51

Fiche 20 8�Ãb]f�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�� )'Fiche 21 La mise en œuvre des moyens nécessaires au PCA 54

Fiche 22 Processus de gestion de crise et PCA 55

Fiche 23 Quand et comment déclencher le PCA ? 58

Fiche 24 PCA et communication de crise 61

Fiche 25 @Yg�]bX]WUhYifg�X»YZÃW]YbWY�Xi�D75�� *&Fiche 26 Le maintien en condition opérationnelle du PCA 63

Fiche 27 5gdYWhg�̂ if]X]eiYg�UggcW]�g�{�̀ U�a]gY�Yb�µijfY�X»ib�D75�� *)

les annexes

annexe 1 @Yl]eiY�� **annexe 2 F�Z�fYbWYg�� *+annexe 3 Fiche guide synthétique pour l’auto-évaluation des bonnes pratiques 70

annexe 4 :]W\Y�acX�`Y�X»UbU`mgY�Yh�X»�jU`iUh]cb�XYg�f]geiYg� pour une situation donnée 72

annexe 5 :]W\Y�acX�`Y�XY�F9H9L�� +(

3

4



pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?co

mm

ent

élab

ore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

les

Fich

es p

rati

qu

esle

s an

neX

es

1

2

3

4

pourquoi élaborer un plan de continuité d’activité ?

�@U�bUhifY �̀ U�Zf�eiYbWY�Yh�̀ Y�Wc�h�XYg�Wf]gYg�ont sensiblement évolué au cours des vingt

XYfb]�fYg�Ubb�Yg"�Cb�WcadfYbX�gUbg�XcihY�a]Yil�Ui^cifX»\i]�{�eiY`�dc]bh�gcbh��hfc]!hYaYbh�]aVf]ei�Yg�`Yg�X]ZZ�fYbhYg�X]aYb!g]cbg�XY�WYg��j�bYaYbhg�ei]�dYfhifVYbh�hf�g�ZcfhY�aYbh�`Y�ZcbWh]cbbYaYbh�XY�bcaVfYigYg�organisations, publiques et privées, avec

XYg�Wcbg�eiYbWYg�U`Ùbh�îgei»{�Ù�WYggUh]cb�X�Ã�b]�h]jY�X»UWh]j]h�"�@Yg�fYhcifg�X»Yld�f]YbWY�des grandes crises récentes montrent que les

organisations ayant entrepris une démarche

préalable visant à garantir la continuité de

`Yif�UWh]j]h��gcbh�`Yg�dìg�f�g]`]YbhYg�ZUWY�Uil�événements déstabilisants.

Bien qu’il soit utopique de chercher à tout

prévoir et maîtriser, le responsable d’une

organisation – publique ou privée – se doit

de concevoir et mettre en œuvre des straté-

gies de protection permettant d’éviter certains

événements, ou tout du moins d’en limiter

11.1 quelques bonnes raisons d’entreprendre une démarche

de continuité d’activité

1.1 la démarche présentée par étapes Pourquoi élaborer un plan de continuité d’activité ?

quelques bonnes raisons d’entreprendre une démarche de continuité d’activité

principauX chocs mondiauX

70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 00 02 04 06 08 10

Pertes dues aux catastrophes mondiales 1970-2010 (Source : Swiss Re, Guy Carpenter & Company LLC).

100

80

60

40

20

0

Catastrophes naturelles

Catastrophes d’origine humaine

Moyenne mobile sur 10 ans

Mill

iard

s de

dol

lars

am

éric

ains

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4


la démarche présentée par étapes Pourquoi élaborer un plan de continuité d’activité ?

qu’est-ce qu’un pca ?

@U�[Ygh]cb�XY�̀ U�Wcbh]bi]h��X»UWh]j]h��Ygh�X�Ãb]Y1

comme un « processus de management holis-

h]eiY�ei]�]XYbh]ÃY�̀ Yg�aYbUWYg�dchYbh]Y``Yg�dcif�une organisation, ainsi que les impacts que

ces menaces, si elles se concrétisent, peuvent

avoir sur les opérations liées à l’activité de

`»cf[Ub]gUh]cb �Yh�ei]�Zcifb]h�ib�WUXfY�dcif�construire la résilience de l’organisation, avec

ibY�WUdUW]h��XY�f�dcbgY�YZÃWUWY�df�gYfjUbh�̀ Yg�intérêts de ses principales parties prenantes,

sa réputation, sa marque et ses activités pro-

ductrices de valeurs».

Un plan de continuité d’activité (PCA) a par

Wcbg�eiYbh�dcif�cV^Yh�XY�X�W`]bYf�̀ U�ghfUh�[]Y�et l’ensemble des dispositions qui sont prévues

pour garantir à une organisation la reprise et

la continuité de ses activités à la suite d’un

sinistre ou d’un événement perturbant gra-

jYaYbh�gcb�ZcbWh]cbbYaYbh�bcfaU`"�=`�Xc]h�

permettre à l’organisation de répondre à ses

cV`][Uh]cbg�YlhYfbYg��`�[]gÙh]jYg�ci�f�[`Y-

mentaires, contractuelles) ou internes (risque

de perte de marché, survie de l’entreprise,

]aU[Y¯��Yh�XY�hYb]f�gYg�cV^YWh]Zg"

@Y�f�[`YaYbh�b��-+!$&�Xi�7ca]h��XY�Ù�f�[`Y-

aYbhUh]cb�VUbWU]fY�Yh�ÃbUbW]�fY�Xi�&%�Z�jf]Yf�%--+�fYÙh]Z�Ui�Wcbhf�`Y�]bhYfbY�XYg��hUV`]ggY-

ments de crédit et des entreprises d’investis-

gYaYbh�XcbbY�Ù�X�Ãb]h]cb�gi]jUbhY�.�le PCA représente l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise dÙb]Ã�Y�XYg�UWh]j]h�g"

1.2 qu’est-ce qu’un pca ?

`Yg�YZZYhg�X]fYWhg�gif�`Yg�cV^YWh]Zg�XY�`»cf[U-

nisation, et d’assurer la continuité d’activité

malgré la perte de ressources critiques. Cet

]ad�fUh]Z�WcbX]h]cbbY�Ù�g]hiUh]cb�ÃbUbW]�fY�de l’organisation, son image dans la société

et naturellement la responsabilité personnelle

du dirigeant. Les établissements de crédit, les

entreprises d’investissement, les établisse-

ments de santé, les opérateurs d’importance

j]hU`Y�Xc]jYbh�X�^{�f�dcbXfY�{�`»cV`][Uh]cb�légale de plan de continuité d’activité.

Les contraintes économiques imposent de

XYjc]f�îgh]ÃYf�`Yg�X�dYbgYg�!�m�Wcadf]g�WY``Yg�

qui concernent les actions à entreprendre dans

le domaine de la sécurité - et de pouvoir priori-

ser ces dépenses dans le cadre d’une stratégie

[`cVU`Y"�=`�ZUih�dUf�Wcbg�eiYbh�X]gdcgYf�X»ci-

tils méthodologiques permettant d’optimiser

`»YZÃW]YbWY�XY�WYg�UWh]cbg �Yb�Wc\�fYbWY�UjYW�`Yg�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb"�8Yg�cih]`g�Yl]g-

hYbh�X�^{�dcif�Wcijf]f�g�dUf�aYbh�dìg]Yifg�domaines indissociables : la gestion de risque,

la gestion de crise, l’intervention, le maintien et

la reprise d’activité. La démarche de continuité

X»UWh]j]h��Ygh�`Y�acmYb�X»UggcW]Yf�XY�aUb]�fY�globale et cohérente tous ces domaines.

%�#�8�Ãb]h]cb�XY�Ù�bcfaY�=GC�&&'$%�.�&$%&�:�"

1.2


pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?co

mm

ent

élab

ore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

les

Fich

es p

rati

qu

esle

s an

neX

es

1

2

3

4

la démarche méthodologique permettant l’éla-boration concrète d’un pca est l’objet principal de ce guide destiné aux organismes relevant de l’état, aux collectivités territoriales ainsi qu’aux entreprises. IbY�Zc]g��ÙVcf� �`Y�D75�fY[fcidY�`Yg�dfcW�!dures documentées qui vont servir de guide

{� `»cf[Ub]gUh]cb�UZ]b�XY� ì]�dYfaYhhfY�XY�répondre, rétablir, reprendre et retrouver un

b]jYUi�XY�ZcbWh]cbbYaYbh�df�X�Ã�b]�{�̀ U�gi]hY�d’une perturbation importante.

@Y�[i]XY�U��[U`YaYbh�dcif�UaV]h]cb�XY�ZUW]!liter une telle démarche, par la délivrance

XY�WcbgY]`g�a�h\cXc`c[]eiYg�Yh�Ù�X]ZZig]cb�de bonnes pratiques. Dans une perspective

concurrentielle, il peut aussi constituer une

U]XY�{�Ù�df�dUfUh]cb�X»ib��jYbhiY`�dfc^Yh�XY�WYfh]Ã�WUh]cb"�

Df�gYbhUbh�Vf]�jYaYbh�̀ Y�f�`Y�XYg�gYfj]WYg�XY�l’État en appui des acteurs de la société civile,

`Y�XcWiaYbh�ZU]h�f�[i`]�fYaYbh�f�Z�fYbWY�{�ib�jcWUViÙ]fY�bcfaU`]g��ei]�Wcbhf]ViY�{�ZUW]`]hYf�le dialogue entre les organisations, notamment

XUbg�̀ Yifg�fYÙh]cbg�W`]Ybhg#Zcifb]ggYifg �UÃ�b�XY�̀ ]a]hYf�̀ Yg�YZZYhg�Yb�WUgWUXY"�GU�diV`]WUh]cb�par le SGDSN vise ainsi à mettre en cohérence

`Yg�X]ZZ�fYbhYg�UddfcW\Yg�Yh�XcWiaYbhUh]cbg�Yl]ghUbhYg �XUbg�̀ Y�WUXfY�X»ibY�X�aUfW\Y�ei]�Ua�bY�`Y�gYWhYif�diV`]W�Yh�`Y�gYWhYif�df]j��{�fYbZcfWYf�Ù�f�g]`]YbWY�bUh]cbU`Y�XY�aUb]�fY�complémentaire.

@Y�[i]XY�Ygh�gW]bX��Yb�XYil�dUfh]Yg"�@U�dfYa]�fY�Wcbh]Ybh�̀ Yg�]bZcfaUh]cbg�dYfaYh!tant de donner au lecteur une vision synthé-

tique et globale de l’approche méthodologique

ei»]`�Wcbj]Ybh�XY�gi]jfY�UÃ�b�XY�aYbYf�ibY�démarche de continuité et de rétablissement

d’activité en cohérence avec les normes

Yl]ghUbhYg"�

La seconde partie du guide est constituée

XY�Ã�W\Yg�dfUh]eiYg�ei]�X�Wf]jYbh�XY�aUb]�fY�détaillée les étapes et modalités d’élaboration

et de maintenance d’un plan de continuité d’ac-

h]j]h�"�7Yg�Ã�W\Yg�X»UddfcZcbX]ggYaYbh�j]gYbh�{�ZUW]`]hYf�`»Uddfcdf]Uh]cb�XY�Ù�a�h\cXY�Yh�des bonnes pratiques en aidant leur transpo-

g]h]cb�XUbg�`Y�WcbhYlhY�gd�W]Ã�eiY�{�W\UeiY�organisation.

9bÃ�b �XYg�UbbYlYg�Zcifb]ggYbh�ib�`Yl]eiY�XY�hYfa]bc`c[]Y�bcfaU`]g�Y �XYg�f�Z�fYbWYg �XYg�YlYad`Yg�Yh�XYg�Ã�W\Yg�acX�`Yg"

1.3 l’ambition de ce guide

1.3 la démarche présentée par étapes Pourquoi élaborer un plan de continuité d’activité ?

l’ambition de ce guide


comment élaborer un plan de continuité d’activité ?

le pca décrit la stratégie de continuité adoptée pour faire face, par ordre de priorité, à des f]geiYg�]XYbh]Ã�g�Yh�g�f]�g�gY`cb�Ù�[fUj]h��de leurs effets et leur plausibilité. Il décline cette stratégie en termes de ressources et de procédures documentées qui vont servir de références pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement pré-X�Ãb] �`cfgeiY�WYì]!W]�U��h��]bhYffcadi�{�Ù�suite d’une perturbation importante.

Ib�D75�Ygh�b�WYggU]fYaYbh�ib�dÙb��jcìh]Z�WUf�les priorités de l’organisation évoluent avec

`Yg�acX]ÃWUh]cbg�X»cV^YWh]Zg �X»cV`][Uh]cbg�contractuelles ou réglementaires, de relations

UjYW�XYg�dUfhYbU]fYg�YlhYfbYg��Zcifb]ggYifg�ou clients) et d’appréciation du risque. Il doit

�hfY�fYji�f�[i`]�fYaYbh�dcif�hYb]f�WcadhY�XY�`»�jcìh]cb�XY�WYg�dUfUa�hfYg"�

Toute personne en charge d’une action relevant

X»ib�D75�Xc]h�WcbbU�hfY�df�W]g�aYbh�gcb�f�`Y�Yh�WY�ei»Y``Y�Xc]h�ZU]fY�WcbWf�hYaYbh�Yb�WUg�XY�g]b]ghfY"�9``Y�Xc]h��[U`YaYbh�WcadfYbXfY�Ù�ÃbU`]h��fYW\YfW\�Y �UÃb�X»]bgWf]fY�gcb�UWh]cb�dans la cohérence globale de l’organisation.

7Yh�]ad�fUh]Z�Ygh�ib�[U[Y�XY�ÄYl]V]`]h��Yh�X»YZÃWUW]h�"

Il résulte des points précédents que la docu-

aYbhUh]cb�Xi�D75�Xc]h�ZUW]`]hYf�l’adhésion des personnes concernées, l’adaptabilité des

mesures à la situation et l’évolutivité du plan

dans le temps, en incluant une description du

WcbhYlhY �XYg�gW�bUf]cg�XY�f]geiY�fYhYbig�Yh�de la stratégie de réponse.

il est par conséquent recommandé que le contenu du pca comprenne les points suivants, qui doivent être élaborés successivement :

le contexte �`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg�de l’organisation, dont la description se

prolonge logiquement par la liste des activités

�YggYbh]Y``Yg�dcif�`»UhhY]bhY�XYg�cV^YWh]Zg�Yh�Ù�tenue des obligations, ainsi que par la liste des

�dfcWYggig�W`�g �b�WYggU]fYg�Ui�ZcbWh]cbbYaYbh�des activités essentielles.

les risques retenus comme les plus graves

pour la continuité d’activité doivent être

WÙ]fYaYbh�Yld`]W]h�g�Ui�acmYb�XY�gW�bUf]cg"�7caaY�cb�`Y�jYffU�dìg�`c]b �]`�Ygh�ZcfhYaYbh�recommandé de conduire une analyse com-

d`�hY�XYg�f]geiYg �XY�ZU�cb�{�X]gdcgYf�X»ibY�[f]``Y�X»�jUìUh]cb�Yh�XY�Wf]h�fYg�cV^YWh]Zg�dcif�décider des priorités. Néanmoins, en l’absence

d’une démarche de gestion des risques, une

UddfcW\Y�dUf�gW�bUf]cg��dUf�YlYad`Y�ibY�WfiY �une pandémie grippale, la destruction d’un

g]hY� �ZcWU`]g�Y�gif�`Yg�Wcbg�eiYbWYg�gUbg�X�Wf]fY�̀ Yg�WUigYg �dYih�giZÃfY�{��ÙVcfYf�ibY�dfYa]�fY�jYfg]cb�XY�D75�g]ad`]Ã�"

la stratégie de continuité d’activité, établie

et décrite en précisant, pour chaque activité

YggYbh]Y``Y �`Yg�b]jYUil�XY�gYfj]WY�fYhYbig�Yh�`Yg�Xif�Yg�X»]bhYffidh]cb�aUl]aU`Yg�UXa]gg]V`Yg�dcif�WYg�X]ZZ�fYbhg�b]jYUil�XY�gYfj]WY �U]bg]�que les ressources et procédures permettant

X»UhhY]bXfY�`Yg�cV^YWh]Zg �Yb�hYbUbh�WcadhY�XYg�ressources critiques qui peuvent avoir été per-

XiYg �̂ igei»{�̀ U�fYdf]gY�XY�̀ U�g]hiUh]cb�bcfaU`Y"

22.1 contenu du pca

2.1 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?

contenu du pca


les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

Comment élaborer un plan de continuité d’activité (PCA) ?

l’organisation requise

la maintenance opérationnelle du plan. Cette action essentielle consiste en premier

lieu à établir des indicateurs permettant de

j�f]Ã�Yf�Yh�aYgifYf�. @U�VcbbY�a]gY�Yb�µijfY�XYg�X]gdcg]h]Zg�

préconisés dans le plan.

9b�Uacbh�.�`»YZÃ�WUW]h��Xi�dÙb�Ui�fY[UfX�XYg�cV^YWh]Zg�XY�Wcbh]bi]h�" 9b�UjU`��XifUbh�ibY�Wf]gY��.�`Yg�b]jYUil�XY�

service constatés sur les activités essentielles,

`Y�ZcbWh]cbbYaYbh�XYg�dfcWYggig�gd�W]Ã�eiYg�au PCA et la disponibilité des ressources de

secours.

La maintenance opérationnelle consiste

Ybgi]hY�{�aYhhfY�Yb�dÙWY�`Yg�X]gdcg]h]Zg�XY�aYgifY�fYÙh]Zg�{�XYg�hYghg�d�f]cX]eiYg �{�XYg�YlYfW]WYg�ci�{�ib�g]b]ghfY�j�Wi"�9``Y�gY�hfUXi]h�YbÃ�b�dUf�̀ »]XYbh]Ã�WUh]cb�XYg�UlYg�XY�dfc[f�g�Yh�le suivi des améliorations apportées au plan.

le rôle des différents responsables, les

procédures de mise en œuvre du PCA et les

acmYbg�b�WYggU]fYg�Xc]jYbh��hfY�Yld`]W]h�g"�@Yg�X]gdcg]h]Zg�df�Wcb]g�g �ibY�Zc]g�]bh�[f�g�XUbg�les moyens et procédures de l’organisation,

doivent être précisés et documentés.

le dispositif de gestion de crise, qui per-

met de conduire la mise en œuvre du PCA en

assurant le pilotage des actions de réponse

et de gestion de l’incertitude, à travers les

procédures de détection d’incident, de quali-

Ã�WUh]cb �X»YgWUÙXY �X»U`YfhY �XY�acV]`]gUh]cb �d’activation de la cellule de crise, d’antici-

pation, d’intervention, de déclenchement

des dispositions du PCA (solution palliative,

acXY�gYWcifg�UjYW�ZcbWh]cbbYaYbh�X�[fUX� �plan de reprise de l’activité normale) et de

communication.

L’élaboration d’un PCA impose au préalable

ibY�UWh]cb�gd�W]Ã�eiY�XY�Wcaaib]WUh]cb�j]gUbh�à sensibiliser l’organisation à la gestion du

risque et à la continuité d’activité, et à préparer

la conduite du changement.

la direction doit par conséquent s’engager très fortement dans l’élaboration du pca, par la

X�g][bUh]cb�Xi�W\YZ�XY�dfc^Yh�Yh�XY�gcb��ei]dY �l’établissement d’un mandat et le pilotage de

points d’avancement réguliers, permettant la

jU`]XUh]cb�XYg�df]bW]dUil�̂ U`cbg �di]g�̀ »Uddfc!VUh]cb�Xi�dÙb�Yh�gcb�gi]j]"�9``Y�Xc]h�g»UggifYf�Yb�cihfY�eiY�̀ »�ei]dY�XY�dfc^Yh�dciffU�Ub]aYf�une bonne gestion de la continuité et de la

reprise d’activité, à travers :

L’analyse et l’appréciation du risque.

@U�ZcfaiÙh]cb�XY�dfcdcg]h]cbg�XY�ghfUh�[]Y�

de continuité et de reprise, la capacité à

j�f]Ã�Yf�Ù�VcbbY�df]gY�Yb�WcadhY�¶�dUf�XYg�responsables désignés – du besoin de dispo-

nibilité des ressources prescrites par le plan

et approuvées par la direction.

L’intégration des procédures de continuité et

de reprise dans les processus de l’organisation.

@U�WUdUW]h��{�j�f]Ã�Yf�̀ »YZÃ�WUW]h��Yh�̀ »YZÃ�W]YbWY�du PCA.

=X�U`YaYbh �`Y�W\YZ�XY�dfc^Yh�Ygh�fUhhUW\��Ui�directeur des risques2. Il doit connaître le

métier et disposer d’une autorité reconnue.

=`�Ygh�dUfZc]g�dìg�g]ad`Y�XY�ZcfaYf�{�̀ »UbU`mgY�XY�f]geiYg�Yh�Ui�D75�ib�YldYfh�a�h]Yf�eiY�l’inverse. Il devra disposer de correspondants

XUbg�̀ Yg�X]ZZ�fYbhYg�Ybh]h�g�XY�̀ »cf[Ub]gUh]cb �Xcbh�`Yg�fYgdcbgUV`Yg�Uifcbh��h��Yil!a�aYg�gYbg]V]`]g�g�{�`»cV^YWh]Z�Xi�D75"

2.2 l’organisation requise

2 / par expérience il est déconseillé de choisir le responsable des affaires générales ou un responsable informatique.

la démarche présentée par étapes2.2



méthodologie d’élaboration du pca

2.3.1 définir le contexte et les objectifs de l’organisationcette première action est essentielle et condi-h]cbbY�̀ »YZÃWUW]h��X»YbgYaV`Y�XY�̀ U�X�aUfW\Y" 9``Y�j]gY�{�df�W]gYf�̀ Y�d�f]a�hfY�[�c[fUd\]eiY�Yh�ZcbWh]cbbY`�XY�̀ »cf[Ub]gUh]cb�ei]�Xc]h��hfY�df]g�Yb�WcadhY �di]g�{�]XYbh]ÃYf�hcih�WY�ei]�dYih�cf]YbhYf�`Yg�W\c]l�Yb�fUddcfh�UjYW�Ù�gd�W]ÃW]h��XY�`»cf[Ub]gUh]cb"�BchUaaYbh �]`�convient de prendre en compte aussi bien le

WcbhYlhY�YlhYfbY��XYaUbXY�XYg�UWh]cbbU]fYg �des autorités chargées de la réglementation

Yh�Xi�Wcbhf�`Y �WcbhfUhg�Yl]ghUbhg�Yh�b]jYUil�X»Yl][YbWY�UggcW]�g �Ybj]fcbbYaYbh�dc`]h]eiY �gcW]U` �Wi`hifY` �îf]X]eiY ��Wcbca]eiY�Yh�ÃbUbW]Yf �X�dYbXUbWYg �YhW"� �eiY�̀ Y�WcbhYlhY�interne (histoire et culture de l’organisation,

style de gouvernance et de pilotage, politique

interne de gestion des ressources humaines,

]bZcfaUh]eiYg �aUh�f]Y``Yg�Yh�]aaUh�f]Y``Yg �ghfUh�[]Y�Yh�cV^YWh]Zg�]bhYfbYg �cf[Ub]gUh]cb �dfcWYggig �gmgh�aY�X»]bZcfaUh]cb �Äil �YhW"�"

Cette démarche analytique est nécessaire

dcif�Ù�gi]hY �UÃb�bchUaaYbh�XY�dYfaYhhfY�d’apprécier le niveau de risque acceptable par

l’organisation, et d’orienter en conséquence la

stratégie de continuité, soit vers une approche

privilégiant la continuité des activités princi-

pales, soit, au contraire, vers une approche

UWWYdhUbh�dìg�ZUW]`YaYbh�̀ Yg�dYfhYg�X»UWh]j]h��associées à la prise de risque.

@»UbU`mgY�Xi�WcbhYlhY�dYfaYh��[U`YaYbh�X»]XYbh]ÃYf�̀ Yg�UWh]j]h�g�ei]�gcbh�YggYbh]Y``Yg�dcif�̀ »UhhY]bhY�XYg�cV^YWh]Zg�XY�̀ »cf[Ub]gUh]cb�et le respect de ses obligations. Ces activi-

h�g�giddcgYbh�`»Yl]ghYbWY�XY�dfcWYggig�Yh�XY�Äil��aUh]�fYg�dfYa]�fYg �]bhYfZUWYg�UjYW�`Yg�gmgh�aYg�X»]bZcfaUh]cb��Xcbh�`Yg�dìg�critiques doivent être utilement cartogra-

phiés et décrits. De ce travail va découler

ibY�dfYa]�fY�UbU`mgY�XYg�fYggcifWYg�X]hYg��Wf]h]eiYg�®�dcif�`Y�Vcb�ZcbWh]cbbYaYbh�XY�l’organisation.

La démarche méthodologique, présentée par

étapes, consiste à :

�5jUbh�hcihYg�W\cgYg �V]Yb�df�W]gYf�̀ Y�WcbhYlhY�Yh�`Y�d�f]a�hfY�Xi�D75"��=XYbh]Z]Yf�`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg�XY�

�̀»cf[Ub]gUh]cb�XUbg�`Y�d�f]a�hfY�fYhYbi"� Formuler des besoins de continuité destinés

{�ZUW]`]hYf�̀ »UhhY]bhY�XYg�cV^YWh]Zg�Yh�̀ Y�fYgdYWh�des obligations.

�=XYbh]ÃYf �[f|WY�{�`»�hiXY�XYg�f]geiYg �`Yg��gW�bUf]cg�XY�Wf]gY�ei]�̂ igh]ÃYbh�ibY�X�aUfW\Y�XY�Wcbh]bi]h��Yh�X�Ãb]f�dUfa]�Yil�ib�cfXfY�de priorité.

�7cbZfcbhYf�`Yg�VYgc]bg�XY�Wcbh]bi]h��Uil� scénarios retenus.

�7cbWYjc]f�Yh�ZcfaU`]gYf�ibY�ghfUh�[]Y�XY�Wcbh]-nuité (et de reprise de la situation normale)

j]gUbh�{�f�dcbXfY�Uil�gW�bUf]cg�fYhYbig"�7YhhY�stratégie doit résulter de l’optimisation entre

X»ibY�dUfh�̀ Yg�Yl][YbWYg�cd�fUh]cbbY``Yg�Yh�̀ Yif�Wc�h�dcif�fYgdYWhYf�̀ Yg�cV^YWh]Zg�XY�Wcbh]bi]h� �et d’autre part le coût et l’acceptabilité de l’in-

hYffidh]cb�XY�̀ »UWh]j]h��Uddf�W]�g�Yb�ZcbWh]cb�de la probabilité de survenue des scénarios).

�8�Ãb]f �XUbg�`Y�WUXfY�XY�Ù�ghfUh�[]Y �`Yg�priorités en termes de ressources et de

procédures3 .

�8�Ãb]f�̀ Yg�f�`Yg�XYg�X]ZZ�fYbhg�fYgdcbgUV`Yg�pour mettre en œuvre, dans les délais prescrits,

les ressources et procédures.

�7cbWYjc]f�Yh�X�W`]bYf�̀ Yg�X]gdcg]h]Zg�XY�j�f]-ÃWUh]cb �XY�Wcbhf�`Y�Yh�X»�jcìh]cbg�f�[i`]�fYg�du plan.

Ces étapes sont résumées dans les paragraphes

gi]jUbhg �XY�aUb]�fY�{�ZUW]`]hYf�̀ U�Wcadf�\Yb-

sion de la démarche méthodologique dans son

ensemble. Une description à vocation pratique

plus détaillée, illustrée par des schémas et

WcadfYbUbh�XYg�ÃW\Yg�XY�VcbbYg�dfUh]eiYg�Ygh�df�gYbh�Y�XUbg�Ù�XYil]�aY�dUfh]Y�Xi�[i]XY�(chapitre 3).

2.3 méthodologie d’élaboration du pca

'�#�7cbWf�hYaYbh�WYÙ�jYih�X]fY �dUf�YlYad`Y �ei»]`�ZUih�]XYbh]ÃYf�`Yg�g]hYg�XY�fYd`]�ci�{�X�ZUih�Yb�UggifYf�Ù�X]gdcb]V]`]h� �`Yg�df�!�ei]dYf �Yh�introduire les procédures adaptées au fonctionnement depuis ces sites de repli.




l’évaluation de chaque processus critique.

La description du processus, sa criticité, ses

cV^YWh]Zg�XY�b]jYUi�XY�gYfj]WY�Yh�XY�X�Ù]�aUl]!mal d’interruption acceptable (DMIA ou DIMA),

et les conséquences d’une interruption supé-

f]YifY�{�WY�X�Ù]�aUl]aU`��Yldf]a�Yg�UihUbh�eiY�dcgg]V`Y�Yb�Wc�h�Ã�bUbW]Yf��gcbh�X�hU]``�Yg�XUbg�XYg�Ã�W\Yg"�G]�`»]bhYffidh]cb�X�dUggY�`Y�X�Ù]�aUl]aU`�UWWYdhUV`Y �`Y�Wc�h�Ui[aYbhY�ZcfhYaYbh�UjYW�̀ U�Xif�Y�XY�̀ »]bhYffidh]cb"�GUbg�X]gdcg]h]Z�XY�gYWcifg�]`�Ygh�dcgg]V`Y�XY�aYhhfY�Yb�d�f]`�`»cf[Ub]gUh]cb"�@»]adUWh�Ã�bUbW]Yf�ci�la perte d’image peuvent alors dépasser ce

que l’organisation peut assumer et conduire

XY�ZUWhc�{�gU�X]gdUf]h]cb��WcaaY�`Y�acbhfYbh�`Yg�YlYad`Yg�Xcbb�g�Yb�UbbYlY�"

2.3.3 identifier et gérer les risques prioritairesLa démarche de gestion du risque est une

X�aUfW\Y�[`cVU`Y�ei]�dYfaYh�XY�eiUbh]Ã�Yf�̀ U�probabilité d’occurrence (ou plausibilité) et

les impacts des risques et disposer ainsi des

éléments permettant de décider des actions

{�YbhfYdfYbXfY�UÃ�b�XY�`]a]hYf�`Yg�YZZYhg�XY�`»]bWYfh]hiXY�gif�`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg�XY�`»cf[Ub]gUh]cb"�9``Y�b�WYgg]hY�XY�hfUjU]``Yf�étroitement avec les responsables des métiers

et des processus de l’organisation. C’est la

seule démarche qui permette d’éviter que

`»�ach]cb�ci�Ù�dYif�bY�X]WhYbh�`Yg�W\c]l�WUf�Y``Y�dYfaYh�XY�Zcifb]f�XYg��`�aYbhg�XY�eiUb!h]Ã�WUh]cb�gYi`g�{�a�aY�XY�WcbXi]fY�{�XYg�décisions rationnelles.

7cbWf�hYaYbh �]`�g»U[]h�X»]XYbh]Ã�Yf les risques

de toutes natures (approche « tous risques »),

puis de les analyser��gY`cb�`Yg�Wf]h�fYg�XY�Zf�!quence et de gravité) en les regroupant par scé-

bUf]cg�g][b]Ã�WUh]Zg �Yh�Ã�bU`YaYbh�d’évaluer ces

f]geiYg�Yb�ZcbWh]cb�Xi�WcbhYlhY�Yh�XYg�Yb^Yil�pour l’organisation (activités stratégiques,

W\U�bY�XY�jU`Yif �Wcb^cbWhifY �cddcfhib]h�g �WcbWiffYbWY �WUdUW]h��Ã�bUbW]�fY �YhW"�"�

@»]XYbh]Ã�WUh]cb des risques consiste à sérier

`Yg�f]geiYg�ei]�dYijYbh�UZZYWhYf�`»UhhY]bhY�

2.3.2 identifier et formaliser les besoins de continuitéCette étape est la suite logique de la précé-

dente. Il s’agit de préciser, pour chaque acti-

j]h��YggYbh]Y``Y�Yh�W\UeiY�dfcWYggig�ci�Ä�il�critique, le niveau de service minimum indis-

pensable ainsi que la durée d’indisponibilité

aUl]aU`Y�UWWYdhUV`Y"�8Yg�acXYg�X�[fUX�g�dYijYbh�dUfZc]g��hfY�Ybj]gU[�g �fYbXUbh�U]bg]�plus tolérable une interruption de l’activité.

Cependant, le mode dégradé obéit lui aussi à

XYg�cV^YWh]Zg�XY�b]jYUi�XY�gYfj]WY�a]b]aia�Yh�XY�Xif�Y�aUl]aU`Y�UjUbh�ibY�fYdf]gY�XY�l’activité normale.

Dcif�aU]bhYb]f�ci�f�hUV`]f�`Y�ZcbWh]cbbYaYbh�XYg�dfcWYggig �]`�ZUih�X]gdcgYf�XY�fYggcifWYg�dites « critiques » que l’on peut classer en

W]be�WUh�[cf]Yg�.�fYggcifWYg�\iaU]bYg �]bZfUg!hfiWhifYg �gmgh�aY�X»]bZcfaUh]cb �fYggcifWYg�]bhY``YWhiY``Yg �Yh�Zcifb]ggYifg�YlhYfbYg��dfYg!hUh]cbg�Yh�aUh]�fYg�dfYa]�fYg�"�DUf�Wcbg�eiYbh �XYg�cV^YWh]Zg�fYÙh]Zg�Ui�b]jYUi�XYg�fYggcifWYg�Wf]h]eiYg�Xc]jYbh��hfY��[U`YaYbh�X�Ã�b]g"�Dcif�g]ad`]Ã�Yf�`Y�hfUjU]` �`»UbU`mgY�XYg�VYgc]bg�Yb�fYggcifWYg�gYfU�YZZYWhi�Y�gif�Ù�VUgY�X»ib�nombre limité de scénarios ou situations de

crise retenus comme prioritaires, à l’issue de

la démarche de gestion de risque et compte

tenu des besoins de continuité.

±�WY�ghUXY �]`�Ygh�X�^{�dcgg]V`Y�XY�eiUbh]Ã�Yf�les conséquences d’une interruption de l’ac-

tivité en termes humain (personnes blessées

ou décédées consécutivement à un arrêt de

gYfj]WY�j]hU`� �ci�Ã�bUbW]Yf��dYfhYg�XY�fYg!sources non assurées, application de pénali-

h�g�WcbhfUWhiY``Yg �Wcbg�eiYbWYg�îf]X]eiYg �dYfhY�XY�aUh]�fYg�gi]hY�{�̀ »]bX]gdcb]V]`]h��XYg�gmgh�aYg�X»]bZcfaUh]cb �ci�dYfhY�XY�aUfW\�g�gi]hY�{�XYg�Zi]hYg�X»]bZcfaUh]cb� �U]bg]�eiY�les conséquences sur l’environnement, sur

l’image4, sur le moral des salariés ou sur la

responsabilité pénale du dirigeant.

±�Ù�Ã�b�XY�WYhhY��hUdY�Ù�X]fYWh]cb�XY�`»cf!ganisme devra valider la description et

4 / par exemple à la suite d’une perte totale de crédibilité visant aussi bien l’organisation elle-même que ses dirigeants.

les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?


2.3méthodologie d’élaboration du pca

d’occurrence (ou plausibilité) par des mesures

de protection physiques ou logiques dissua-

g]jYg �̀ U�gYbg]V]`]gUh]cb�XYg�Yad`cm�g�Uil�Vcbg�WcadcfhYaYbhg �̀ U�X�hYWh]cb�fUd]XY�XY�g][bUil�précurseurs pour arrêter la menace à temps,

XYg�UWh]cbg�XY�X]ggiUg]cb�ZUWY�{�XYg�aYbUWYg�de nature humaine ou encore des interventions

préventives.

Les actions de protection visent à limiter

`Yg�YZZYhg�X]fYWhg�X»ib�g]b]ghfY�Yh�{�W]fWcbg-

Wf]fY�`Y�d�f]a�hfY�XYg�X�[|hg �dUf�YlYad`Y�en protégeant les personnes et les biens, en

rendant plus résistants les points névralgiques,

Yb�X�jY`cddUbh�ibY�X�ZYbgY�Yb�dfcZcbXYif�pour ralentir la progression et en assurant

ibY�X�hYWh]cb�fUd]XY�XYg�]bW]XYbhg�UÃb�XY�permettre une intervention rapide.

2.3.4 choisir les scénarios à prendre en compteLes actions de prévention et de protection ont

permis de réduire les risques, mais pas de

les supprimer. Des risques résiduels demeu-

rent, qui ont généralement une probabilité

X»cWWiffYbWY��ci�dÙig]V]`]h��ZU]V`Y �aU]g�peuvent néanmoins conduire à une perte de

ressources critiques susceptible d’entraîner

une interruption d’activité au-delà du seuil

acceptable ou une diminution du niveau de

gYfj]WY�Yb�XY�{�Xi�gYi]`�a]b]aia�df�X�Ãb]"�7Yg�f]geiYg�gcbh�dUf�Wcbg�eiYbh�Wcbgh]hih]Zg�de scénarios qui devront être traités dans le

cadre du PCA. Le travail de gestion du risque a

permis également de les caractériser en termes

de vraisemblance et d’impact. Ces données

vont permettre d’optimiser la stratégie du plan

de continuité présentée plus loin.

2.3.5 formaliser les moyens et procédures5Ãb�X»UggifYf�Ù�Wcbh]bi]h��X»UWh]j]h��bch]cb�prise au sens large de la normalisation, recou-

vrant le maintien du service au-dessus du seuil

a]b]aia �̀ Y�ZcbWh]cbbYaYbh�X�[fUX��hYadcfU]fY�et les mécanismes de reprise d’activité, partielle

ou totale) il est nécessaire de pallier la perte

de ressources critiques en utilisant d’autres

ressources. Cela n’est généralement possible

que si de telles ressources ont été prévues à

XYg�cV^YWh]Zg�ghfUh�[]eiYg��dUfh�XY�aUfW\� ��bcijYUil�dfcXi]hg ��ei]`]VfY�Z]bUbW]Yf¯� ��cd�fUh]cbbY`g��fYgdYWh�XYg�X�Ù]g�XY�Zcifb]hifY �coût des prestations, qualité des produits…),

XY�[cijYfbUbWY��eiU`]h��XY�`»]bZcfaUh]cb�XY�d]`chU[Y �Wc\�fYbWY�XYg�gmgh�aYg�X»]bZcfaU-

h]cb�X�W]g]cbbY`g¯��ci�XY�WcbZcfa]h��fYgdcb-

sabilité sociale et environnementale, respect

XYg�hYlhYg�f�[`YaYbhU]fYg¯�"�5i�gY]b�XY�WYg�« rubriques », les risques peuvent être égale-

ment classés selon leur origine (accidentelle,

naturelle, sanitaire, technologique, ou action

humaine délibérée).

l’analyse�XYg�f]geiYg�dYih�gY�ZU]fY�gY`cb�X]ZZ�fYbhYg�a�h\cXYg �dUf�YlYad`Y�Yb�WUfUW-

térisant la source du risque (la menace), les

ji`b�fUV]`]h�g��[f|WY�UileiY``Yg�Ù�aYbUWY�dYih�dfcXi]fY�XYg�YZZYhg��Yh�`Yg�YZZYhg��ci�]adUWhg��Yil!a�aYg"�

l’évaluation des risques consiste à les

�WÙggYf�gY`cb�XYil�Wf]h�fYg�.�Ù�dfcVUV]`]h��d’occurrence (ou plausibilité) et la gravité

d’impact. Il résulte de ce classement une liste

graduée des risques, les plus critiques étant

WYil�ei]�gcbh�{�Ù�Zc]g�`Yg�dìg�Zf�eiYbhg�Yh�dont l’impact est le plus grave. Ces derniers

dYijYbh�ZU]fY�̀ »cV^Yh�X»ibY��jUìUh]cb�Wcad`�-

aYbhU]fY�dcif�dfYbXfY�Yb�WcadhY�̀ Y�WcbhYlhY�gd�W]ÃeiY�XY�̀ »cf[Ub]gUh]cb�UjYW�gYg�jU`Yifg"�=`�Yb�f�gi`hY�ÃbU`YaYbh�ibY�`]ghY�XY�f]geiYg�classés par ordre d’importance décroissante,

`Yg�dfYa]Yfg�XYjUbh�ZU]fY�`»cV^Yh�X»ibY�UWh]cb�prioritaire : le « traitement ».

le traitement des risques prioritaires

consiste à décider d’une action visant à

��`]a]bYf�̀ Y�f]geiY��dUf�YlYad`Y�Yb�W\Ub[YUbh�l’activité ou sa localisation) ou à le limiter (par

des actions de prévention et de protection

�d\mg]eiY� �ci�YbWcfY�dUf�ibY�[Ygh]cb�ÃbUbW]�fY�(assurance, partage).

Quand le risque ne peut être éliminé, les

actions de prévention ou de protection sont

à privilégier car elles sont généralement moins

coûteuses que la gestion des conséquences

d’un sinistre. Les actions de prévention consis-

hYbh�dUf�YlYad`Y�{�X]a]biYf�Ù�dfcVUV]`]h��

Comment élaborer un plan de continuité d’activité (PCA) ? la démarche présentée par étapes


la démarche présentée par étapes

Les moyens et procédures à mettre en place

couvrent en premier lieu les ressources cri-

h]eiYg�]XYbh]Ã��Yg�.

pour les ressources humaines il s’agit

�X»]XYbh]Ã�Yf�̀ Yg�dcg]h]cbg�XY�hfUjU]`�W`�g�dcif�̀ U�continuité des activités essentielles, les posi-

tions de travail à maintenir et les dispo si tions

pour y arriver (suppléance du personnel, méca-

b]gaYg�X»UghfY]bhY �fYWcifg�Uil�f�gYfj]ghYg �possibilité de travail occasionnel à distance…),

`Yg�X]gdcg]h]Zg�hYW\b]eiYg�b�WYggU]fYg��`cWUil �acmYbg�X»UWW�g �cih]`g�XY�hfUjU]` �acmYbg�XY�h�`�Wcaaib]WUh]cb �g�Wif]h��]bZcfaUh]eiY �UWW�g� {� Ù� VUgY� XY� WcbbU]ggUbWY¯� � `Yg�acmYbg�\iaU]bg��ZcfaUh]cb �gYbg]V]`]gUh]cb �YlYfW]WYg""��Yh�`Yg�X]gdcg]h]Zg�f�[`YaYbhU]fYg�(contrat de travail, convention collective,

responsabilités…).

pour les systèmes d’information et de com-munication, il est souhaitable de disposer

d’une architecture permettant de répondre

Uil�Yl][YbWYg�Yb�hYfaYg�XY�X�Ù]g�XY�gYWcifg�Yh�XY�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y �[f|WY�{�ib�X�WcidU[Y�XY�`»UfW\]hYWhifY�hYW\!b]eiY�Yb�dÙeiYg�gYWcifUV`Yg�\cac[�bYg �ZUW]`]hUbh�gY`cb�`Yg�Wf]h�fYg�df�W�XYbhg�ibY�fYdf]gY�dfc[fYgg]jY�dUf�dU`]Yfg �Yh�{�̀ »Yl]ghYbWY�de centres de secours et de données sauve-

gardées, avec les mécanismes adéquats. Des

hYghg�f�[i`]Yfg�gcbh�b�WYggU]fYg�dcif�Yb�j�f]Ã�Yf�`»YZÃ�WUW]h�"�@Yg�acmYbg�XY�h�`�Wcaaib]WUh]cb�gcbh�gcijYbh�ib�dc]bh�XY�ji`b�fUV]`]h��aU^Yif �îgh]Ã�Ubh�̀ »Yl]ghYbWY�XY�X]gdcg]h]Zg�XY�gYWcifg��f�gYUil�X�X]�g�g�Wif]g�g �gmgh�aYg�df]j�g�dUf�fUX]c �UWW�g�dUf�gUhY``]hY �YhW"��ei]�Xc]jYbh�être intégrés dans les procédures en temps

bcfaU` �UÃ�b�XY�dcijc]f��hfY�ih]`]g�g�ZUW]`YaYbh�en période de crise.

@Yg�dfcWYggig�Yh�̀ Yg�Ä�il peuvent utilement

ZU]fY�̀ »cV^Yh�XY�fYXcbXUbWYg�Yh�XY�gcìh]cbg�XY�WcbhcifbYaYbh �ZcfaU`]g�Yg�XUbg�XYg�dÙbg�XY�Wcbh]bi]h��dU``]Uh]Zg�X�Ã�b]g�dUf�`Yg�fYgdcb!gUV`Yg�XYg�a�h]Yfg��dUf�YlYad`Y�XYg�dfcW�XifYg�aUbiY``Yg�"�8Yg�dfcW�XifYg��gd�W]Ã�eiYg�Ui�D75�devront par ailleurs avoir été intégrées dans

`Yg�dfcWYggig�XY�̀ »cf[Ub]gUh]cb�UÃ�b�XY�dcijc]f�être mises en œuvre en cas d’activation du PCA.

l’avance. Il est donc nécessaire de limiter les

dYfhYg�XY�ZU�cb�{�X]gdcgYf�Udf�g�̀ Y�g]b]ghfY�X»ib�niveau de ressources minimum pour permettre

Ù�fYdf]gY"�DUf�YlYad`Y�]`�bY�gYfU�dcgg]V`Y�X»Ug!gifYf�̀ U�fYdf]gY�X»ib�gmgh�aY�X»]bZcfaUh]cb�{�ib�niveau acceptable que si un certain nombre de

aUh�f]Y`g�Yh�XY�f�gYUil�gcbh�X]gdcb]V`Yg�Udf�g�le sinistre et si les données critiques sauvegar-

X�Yg�gcbh�giZÃ�gUaaYbh�f�WYbhYg�dcif�̀ ]a]hYf�̀ U�perte opérationnelle. C’est le concept de perte

XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y"�

Il résulte de ceci que la reprise d’activité doit

se préparer :

9b�]XYbh]Ã�Ubh�ci�Yb�Wf�Ubh�XYg�fYggcifWYg�fYXcbXUbhYg�bcb�gigWYdh]V`Yg�X»�hfY�UZZYWh�Yg�par le sinistre.

9b�g»cijfUbh�̀ U�dcgg]V]`]h��XY�ZU]fY�UddY` �XUbg�XYg�X�Ù]g�UXUdh�g �{�XYg�fYggcifWYg�YlhYfbYg" 9b�Udd`]eiUbh�XYg�dfcW�XifYg�XY�gUijY[UfXY�

XYg�Xcbb�Yg�UXUdh�Yg�{�̀ »Yl][YbWY�Yb�hYfaYg�XY�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y" 9b�X]gdcgUbh�X»ibY�cf[Ub]gUh]cb �X»ibY�UfW\]!

tecture technique et de procédures qui vont per-

aYhhfY�̀ Y�ZcbWh]cbbYaYbh�Xi�WYbhfY�XY�gYWcifg�dans les délais prescrits et pour les applications

prioritaires.

=`�Ygh�dcgg]V`Y�dUf�YlYad`Y�XY�X]gdcgYf�XY�X]Z!Z�fYbhg�X]gdcg]h]Zg�XY�gYWcifg�]bZcfaUh]eiY �̀ Yg�données essentielles étant dupliquées par un

mécanisme de reproduction synchrone, assurant

de ne pas perdre des données, tandis que des

applications moins critiques pourront accepter

ibY�fYdf]gY��{�Zfc]X�®�UjYW�`Yg�Xcbb�Yg�XY�Ù�veille.

La reprise d’activité doit également se préparer

en disposant de procédures testées :

Activation des ressources de secours.

Cf[Ub]gUh]cb�Yh�X]gdcg]h]Z�XY�[Ygh]cb�XY�Wf]gY" Déclenchement et mise en œuvre des modes

X�[fUX�g�XY�ZcbWh]cbbYaYbh"

Le PCA requiert par conséquent des moyens et

des procédures qui doivent être mis en place

UjUbh�̀ U�gifjYbiY�X»ib�g]b]ghfY"�5df�g�̀ Y�g]b]ghfY �la cellule de crise pourra activer certaines dis-

dcg]h]cbg�Xi�D75�UÃ�b�XY�dYfaYhhfY�ibY�fYdf]gY�partielle puis totale de l’activité.

2.3Comment élaborer un plan de continuité d’activité (PCA) ?


les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

12Guide pour réaliser un plan de continuité d’activité 12Guide pour réaliser un plan de continuité d’activité



le rôle de l’état doit naturellement être pris

en compte dans l’analyse des solutions permet-

tant d’assurer la continuité d’activité. L’État

Ygh�Zcifb]ggYif�XY�WYfhU]bYg�dfYghUh]cbg�Yh�dfcachYif�XY�f�[`Yg�XY�VcbbYg�dfUh]eiYg�dans le cadre de la continuité de ses activités

essentielles. Il est également le gardien de

l’intérêt général, pour la gestion des risques

Yh�̀ U��f�g]`]YbWY�XY�̀ U�BUh]cb"�7Y�f�`Y�WcadcfhY�pour l’État la conduite d’analyses des risques

aU^Yifg �`»�ÙVcfUh]cb�Yh�Ù�aU]bhYbUbWY�XY�dÙbg�bUh]cbUil�XY�df�dUfUh]cb�Yh�XY�f�dcbgY�Uil�Wf]gYg �̀ U�f�U`]gUh]cb�X»ibY�jY]``Y�cd�fUh]cb-

bY``Y �Ù�a]gY�Yb�µijfY�XY�X]gdcg]h]Zg�WYbhfU-

lisés et déconcentrés de gestion de crise pour

assurer la coordination des acteurs publics

et privés dans la mise en œuvre des mesures

d’intervention, de protection de la population

et de continuité des activités d’importance

vitale pour la vie économique et sociale.

2.3.6 définir la stratégie de continuitéNous avons vu précédemment que les scéna-

rios de crise conduisant à un niveau d’activité

ou à une durée d’interruption inacceptables

dUf�fUddcfh�Uil�gYi]`g�X�Ãb]g �îgh]ÃYbh�ib�plan de continuité. Par ailleurs, on a vu que le

coût de dépassement de ces seuils peut être

calculé. Il est d’autant plus élevé que l’inter-

ruption d’activité est longue. Au paragraphe

précédent, les moyens à mettre en œuvre pour

assurer la continuité ou la reprise d’activité

cbh��h��]XYbh]Ã�g"�@Yif�Wc�h�dYih�XcbW��hfY�évalué. Ce coût est d’autant plus élevé que

`Yg�cV^YWh]Zg�XY�X�Ù]g�X»]bhYffidh]cb�gcbh�courts. Il est par conséquent aisé (au moins

en théorie) de déterminer le point d’optimi-

sation, en prenant en compte la probabilité

d’occurrence du scénario de crise et l’appé-

tence ou aversion au risque de l’organisation,

dcif�`»UWh]j]h��Wcbg]X�f�Y"�9b�dfUh]eiY �WYg�WU`Wi`g�ÃbUbW]Yfg�dYijYbh��hfY�dUfZc]g�hfcd�Wcad`YlYg"�8Ubg�WY�WUg�`»cfXfY�XY�[fUbXYif�eiUbh]hUh]Z�Yh�eiU`]hUh]Z�XYg�Wc�hg�̂ igh]ÃUbh�̀ U�mise en place d’une stratégie de continuité

les ressources intellectuelles ne sont géné-

ralement pas prises en compte en dehors

XYg�gmgh�aYg�X»]bZcfaUh]cb�Yh�XYg�gUijY-

gardes associés. Néanmoins pour certaines

organisations les ressources intellectuelles

ou immatérielles sont si critiques que des

X]gdcg]h]Zg�XY�dfchYWh]cb�Yh�XY�fYdf]gY�Xc]jYbh�être prévus. Des solutions de sécurisation

gd�W]ÃeiYg��dYijYbh��hfY�b�WYggU]fYg��gUijY-

[UfXYg �Wcbhf�`Y�X»UWW�g�fYbZcfW� �X�d�h�XY�brevets, protection des marques, cryptage,

WÙgg]ÃWUh]cb�Ui�gYWfYh�XY�X�ZYbgY¯�"

les infrastructures sont souvent les pre-

a]�fYg�{�ZU]fY�`»cV^Yh�XY�X]gdcg]h]Zg�XY�Wcbh]-nuité, en raison de catastrophes vécues,

comme une inondation ou un incendie. Les

solutions sont souvent bien connues et maî-

hf]g�Yg �aU]g�ibY�j�f]ÃWUh]cb�fYghY�ZcfhYaYbh�recommandée5.

�9bÃb�`Y�dìg�Wcad`YlY�fYghY�Ù�ghfUh�[]Y�à adopter vis-à-vis des partenaires (presta-

hU]fYg�Yh�Zcifb]ggYifg�YlhYfbYg�"�9b�YZZYh �]`�Ygh�b�WYggU]fY�XY�hfUbgdcgYf�̀ Yg�Yl][YbWYg�XY�Wcbh]bi]h��]bhYfbY�jYfg�̀ Yg�Äil�jYbUbh�XY�̀ »Yl-

h�f]Yif�Yh�XcbW�jYfg�̀ Yg�Zcifb]ggYifg�YlhYfbYg"�7Yg�Yl][YbWYg�dcijUbh��hfY�eiUbh]Z]�Yg �`»Yb^Yi�Ygh�U`cfg�XY�`Yg�hfUXi]fY�Yb�hYfaYg�WcbhfUWhiY`g�¶�UWWcadU[b�g�XY�Wcbhf�`Yg�Yh�XY�X]gdcg]h]Zg�XY�WccfX]bUh]cb�XifUbh�ibY�crise – et/ou en mécanismes de travail en

acXY�Wc`ÙVcfUh]Z�UjYW�dUfhU[Y�XYg�UbU`mgYg�et traitement du risque, dans la stratégie de

Wcbh]bi]h��Yh�X»YlYfW]WYg�Wcaaibg"�8Ubg�WYf-tains cas, il peut être nécessaire d’internaliser

WYfhU]bYg�ZcbWh]cbg�dcif�Yb�UggifYf�̀ U�aU�hf]gY�à moindre coût6. Une démarche de mutua-

`]gUh]cb�XY�WYfhU]bYg�fYggcifWYg�YlhYfbYg�peut également être envisagée, sous réserve

X»Udd`]eiYf�XYg�f�[`Yg�hf�g�ghf]WhYg�f�[]ggUbh�`Yg�df]cf]h�g�X»UWW�g"�@U�dfcV`�aUh]eiY�XYg�]bhYfX�dYbXUbWYg�Yh�XYg�YZZYhg�Yb�WUgWUXY�îgh]ÃY�XYg��hiXYg�dìg�UddfcZcbX]Yg"�7Y�gi^Yh�Ygh�UbU`mg��Yb�X�hU]`�XUbg�̀ U�XYil]�aY�dUfh]Y�de ce guide.

5 / exemple très courant du groupe électrogène ou du répartiteur de basse tension situés dans les sous-sols inondables.

6 / C’est par exemple le besoin de disposer de groupes électrogènes pour alimenter des fonctions stratégiques en cas d’absence d’électricité

ou de pouvoir utiliser des moyens de télécommunication privatifs pour alerter et communiquer avec les intervenants en cas d’interruption

prolongée des moyens de télécommunication publics.




possible de rédiger le plan de continuité

d’activité qui va décrire la démarche logique

UmUbh�WcbXi]h�Ui�W\c]l�XY�Ù�ghfUh�[]Y�XY��Wcbh]bi]h��Yh�XY�Ù�f�dcbgY�Uil�X]ZZ�fYbhg� scénarios de crise retenus. Cette réponse

consiste à préciser les moyens et à documenter

les procédures qu’il convient de mettre en

µijfY�Yb�ZcbWh]cb�XYg�X]gdcg]h]Zg�Xi�D75� activés par la cellule de crise.

Les responsables de ces moyens et procédures

Xc]jYbh��hfY�WÙ]fYaYbh�]XYbh]Ã��g�U]bg]�eiY�̀ Yif�f�`Y�Yh�`Yg�UWh]cbg�UhhYbXiYg�X»Yil"�@U�XcWi!aYbhUh]cb�Xc]h��hfY�ZUW]`YaYbh�UWWYgg]V`Y�Yb�cas de besoin, être aisément comprise même

dUf�XYg�dYfgcbbYg�f�WYaaYbh�UZZYWh�Yg�Yh�ei]�b»cbh�dUg�YbWcfY��h��Zcfa�Yg"�9``Y�Xc]h��hfY�Uigg]�U]g�aYbh�acX]Ã�UV`Y�dcif�dYfaYhhfY�Ui�PCA d’évoluer. Par ailleurs, les procédures

gd�W]Ã�eiYg�Ui�D75�Xc]jYbh��hfY�dUfZU]hYaYbh�]bh�[f�Yg�Uil�dfcW�XifYg�bcfaU`Yg�UÃ�b�X»�hfY�Wcadf]gYg�Yh�ZUW]`YaYbh�UWh]j�Yg�Yb�g]hiUh]cb�d’urgence.

2.3.9 assurer la capacité de mise en Œuvre du planLes responsables en charge des moyens doivent

j�f]Ã�Yf�Ù�X]gdcb]V]`]h��XYg�fYggcifWYg�gd�W]!Ã�eiYg�WcbX]h]cbbUbh�`»UWh]jUh]cb�Xi�dÙb�XY�Wcbh]bi]h�"�±�X�ZUih �XY�bcijY``Yg�fYggcifWYg7

doivent être mobilisées pour assurer cette

disponibilité dans les délais prescrits par le

PCA. Les procédures de mise en œuvre du PCA

Xc]jYbh��[U`YaYbh��hfY�gd�W]Ã��Yg �XcWiaYb!h�Yg�Yh�]bh�[f�Yg�XUbg�̀ Yg�dfcWYggig�Yl]ghUbhg8.

=`�Ygh�b�WYggU]fY�XY�j�f]Ã�Yf�eiY�WYg�fYggcifWYg�sont bien disponibles-, ou le seront à une date

]XYbh]Ã��Y �Yh�eiY�̀ Yg�dfcW�XifYg�gcbh�WcbbiYg �comprises et pourront être mises en œuvre

dans les délais prescrits, et selon des modalités

gd�W]Ã�eiYg�Uil�gW�bUf]cg�fYhYbig"�7YhhY�h|W\Y�Ygh�VYUiWcid�dìg�X]ZÃ�W]`Y�eiUbX�cb�g»UXfYggY�{�XYg�dfYghUhU]fYg�YlhYfbYg �ei]�bY�gcbh�dUg�gcig�̀ Y�Wcbhf�`Y�XY�̀ »cf[Ub]gUh]cb"�7YdYbXUbh �

dYih�hci^cifg��hfY�Ygh]a��UÃ�b�X»cVhYb]f�ibY�validation en connaissance de cause par la

direction.

2.3.7 spécifier les procédures de gestion de crise et de communicationLa gestion de crise, entendue au sens large,

WcbXi]h�{�aYhhfY�Yb�µijfY�`Yg�X]gdcg]h]Zg�Yh�procédures nécessaires pour détecter, qua-

`]Ã�Yf �U`YfhYf �Ubh]W]dYf �WcbXi]fY�`Yg�UWh]cbg�utiles, et décider notamment de l’activation

XY�WYfhU]bg�X]gdcg]h]Zg�Xi�D75"�8Ubg�WYhhY�dYfgdYWh]jY �`Yg�ZcbWh]cbg�W`�g�XY�Ù�[Ygh]cb�de crise sont :

La veille, qui permet de détecter des signes

précurseurs et donc de préparer les respon-

sables concernés.

La procédure d’escalade, qui permet d’alerter

les responsables du PCA et de la gestion de

Wf]gY�UÃ�b�XY�eiU`]Ã�Yf�`»�j�bYaYbh�UggYn�h�h�pour déclencher l’alerte de la hiérarchie, puis

prendre au bon moment la décision d’activer

la cellule de crise.

@Yg�ZcbWh]cbg�X»U]XY�{�Ù�X�W]g]cb�Yh�bchUa!ment la capacité à anticiper, analyser les

�X]ZZ�fYbhg�gW�bUf]cg�dcgg]V`Yg�Yh�fYWcaaUbXYf�ib�dÙb�X»UWh]cb�cdh]aU`�XUbg�`Y�WcbhYlhY��]bWYfhU]b�]b\�fYbh�Uil�g]hiUh]cbg�XY�Wf]gY�gcfhUbh�X»ib�WUXfY�df�X�Ã�b]"�

@U�WY`ì`Y�XY�Wf]gY�̂ ciY�ib�f�`Y�W`��XUbg�̀ »UWh]!jUh]cb�XYg�X]gdcg]h]Zg�Xi�D75�ei]�gcbh�̀ Yg�dìg�adaptés à la situation. A contrario, dans le cas

XY�g]hiUh]cbg�Zf�eiYbhYg��dUf�YlYad`Y�Yb�WUg�XY�ZcfhYg�hYad�hYg�XUbg�̀ Yg�5bh]``Yg� �XYg�D75�dYijYbh��hfY�UWh]j�g�Yb�acXY��f�Ä�YlY�® �gUbg�qu’il y ait nécessairement besoin de disposer

d’une cellule de crise.

2.3.8 rédiger le plan de continuité et la documentation associée5i�hYfaY�XYg�hfUjUil�X�Wf]hg�Uil�dUfU[fUd\Yg�df�W�XYbhg�Yh�Udf�g�`Yif�jU`]XUh]cb �]`�Ygh�

7 / Cela peut être par exemple un site de repli, un centre de secours informatique ou des ressources humaines qui pourront suppléer l’absence

XY�`cWUil�ci�XY�dYfgcbbYg�fYbXiYg�]bX]gdcb]V`Yg��aUÙX]Y �UVgYbWY�XY�acmYbg�XY�hfUbgdcfh¯�"8 / Cela peut inclure par exemple un dispositif simple permettant de passer une commande dans des délais plus courts qu’avec la procédure

administrative habituelle, ou des procédures plus complexes destinées à déplacer un centre informatique sur un site de secours en utilisant

les sauvegardes disponibles sur un troisième site.

9 / en effet, certains fournisseurs de «centre de repli» signent le même contrat avec plusieurs opérateurs, pour les mêmes ressources,

aU]g�bY�dYijYbh�`Yg�Zcifb]f�ei»Ui��dfYa]Yf�Uff]j��®�`cfgeiY�`»]bW]XYbh�gifj]Ybh��j�f]Ã�Yf�ei»]`g�bY�Zcbh�dUg�XY�gifVcc_]b[�"

les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?


2.3 la démarche présentée par étapes


WcbÃUbWY �di]g�XY�hYghYf�`U�a]gY�Yb�µijfY�XYg�X]gdcg]h]Zg��dUf�YlYad`Y�`Y�VUgWi`YaYbh�XY�WYfhU]bYg�ZcbWh]cbg�gif�ib�g]hY�XY�gYWcifg� �XY�j�f]ÃYf�YbÃb �dUf�XYg�YlYfW]WYg �eiY�`Yg�X]gdcg]h]Zg�Yh�dfcW�XifYg�XY�Wcbh]bi]h��gcbh�connus, compris et peuvent être mis en œuvre

dans les délais prescrits.

les mêmes principes doivent s’appliquer, avec,

gY`cb�`Y�WUg �ib�Wcbhf�`Y�X]fYWh �ib�Wcbhf�`Y�XcWiaYbhU]fY �ibY�WYfh]ÃWUh]cb�dUf�ib�h]Yfg�Yh#ci�̀ U�dUfh]W]dUh]cb�{�XYg�hYghg�ci�YlYfW]WYg�Wcaaibg��ibY�ÃW\Y�gd�W]ÃeiY�hfU]hY�XY�WY�gi^Yh�XUbg�`U�gYWcbXY�dUfh]Y�Xi�[i]XY�"

2.3.10 faire évoluer le plan : exercices et retours d’expérienceIbY�Zc]g�`Y�D75�f�U`]g��Yh�gU�WUdUW]h��{��hfY�mis en œuvre garantie, il est nécessaire d’en

j�f]ÃYf�`»YZÃWUW]h�"�±�WYh�YZZYh �X]ZZ�fYbhYg�approches complémentaires sont recom-

aUbX�Yg"�=`�g»U[]h�X»UVcfX�XY�ZU]fY�j�f]ÃYf�les documents, idéalement par un tiers de

Tâch

es n

éces

sair

es p

our é

labo

rer u

n PC

A

H|W\

Yg�d

cijU

bh��

hfY�

g]a

d`]Ã�

�Yg�

XUbg

�ib�

dfYa

]Yf�h

Yadg

Bouc

le d

e ré

visi

on

Réfé

renc

e au

cha

pitr

e du

gui

de1

dém

arch

e d

’éla

bora

tio

n d

’un

pla

n d

e co

nti

nu

ité

cart

ogra

phie

de

s sy

stèm

es, p

roce

ssus

re

ssou

rces

néc

essa

ires

atte

nte

de c

onti

nuit

é

cart

ogra

phie

de

s ri

sque

s et

str

atég

ie

de tr

aite

men

t

Arbi

trag

eco

ûts/

avan

tage

s

obj

ecti

fs d

e co

ntin

uité

stra

tégi

e de

répo

nse

solu

tion

s de

répo

nse

Exer

cice

s,

mes

ures

de

s ré

sult

ats,

ré

visi

ons

Révi

sion

de

s ob

ject

ifs

Niv

eau

de r

isqu

e ac

cept

able

Cont

exte

et b

esoi

nsSt

raté

gie

de c

onti

nuit

éM

ise

en œ

uvre

54

8�Ã

�b]f

�`U�g

hfUh

�[]Y

�de

cont

inui

té d

’act

ivit

é

3

=XYb

h]Ã�Y

f �Ub

U`mg

Yf �

éval

uer e

t tra

iter

le

s ri

sque

s

2

Dét

erm

iner

les

atte

ntes

de

séc

urit

é po

ur te

nir

les o

bjec

tifs

1

8�Ã

�b]f

�`Y�W

cbhY

lhY�

=XYb

h]Ã�Y

f�`Yg

�cV^

YWh]

Zg�

et le

s ac

tivi

tés

esse

ntie

lles

Met

tre

en œ

uvre

et

ass

urer

l’ap

prop

riat

ion




les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?




Fiche 1 Comment lancer une démarche de PCA ? 18

Fiche 2 :U]fY�̀ Y�W\c]l�X»ibY�X�aUfW\Y�Wcad`�hY�ci�g]ad`]Ã�Y�� %-Fiche 3 8�Ãb]f�̀ Y�d�f]a�hfY�Xi�D75� &$Fiche 4 =XYbh]ÃYf�̀ Yg�cV^YWh]Zg�Yh�UWh]j]h�g�YggYbh]Y``Yg�� &%Fiche 5 7Ufhc[fUd\]Yf�̀ Yg�dfcWYggig�Yh�̀ Yg�Äil�Yh�X�Ãb]f�̀ Yif�Wf]h]W]h�� &&Fiche 6 =XYbh]ÃYf�Yh�ZcfaU`]gYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h�� &'Fiche 7 =XYbh]ÃYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�̀ Yg�fYggcifWYg�Wf]h]eiYg�� &)Fiche 8 Mesurer les conséquences d’une interruption de service 27

Fiche 9 @U�X�aUfW\Y�XY�[Ygh]cb�Xi�f]geiY�dcif�̀ Yg�UWh]j]h�g�YggYbh]Y``Yg�� &-Fiche 10 =XYbh]ÃYf�̀ Yg�f]geiYg� '$Fiche 11 Analyser et caractériser les risques 32

Fiche 12 Évaluer les risques 34

Fiche 13 HfU]hYf �hfUbgZ�fYf ��j]hYf�ci�UWWYdhYf�̀ Yg�f]geiYg�]XYbh]Ã�g�� '*Fiche 14 Quels scénarios de risques prendre en compte ? 37

Fiche 15 8�Ãb]f�̀ Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�̀ U�fYdf]gY�X»UWh]j]h�� '-Fiche 16 8�Ãb]f�̀ Yg�Yl][YbWYg�dcif�̀ Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75�� (&Fiche 17 8�Ãb]f�̀ Yg�Yl][YbWYg�j]g!{!j]g�XYg�dUfhYbU]fYg�� ()Fiche 18 @Yg�fY`Uh]cbg�UjYW�̀ Yg�gYfj]WYg�XY�̀ »vhUh�� (-Fiche 19 Le bilan coût/avantage d’un PCA. Comment arbitrer ? 51

Fiche 20 8�Ãb]f�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�� )'Fiche 21 La mise en œuvre des moyens nécessaires au PCA 54

Fiche 22 Processus de gestion de crise et PCA 55

Fiche 23 Quand et comment déclencher le PCA ? 58

Fiche 24 PCA et communication de crise 61

Fiche 25 @Yg�]bX]WUhYifg�X»YZÃW]YbWY�Xi�D75�� *&Fiche 26 Le maintien en condition opérationnelle du PCA 63

Fiche 27 5gdYWhg�̂ if]X]eiYg�UggcW]�g�{�̀ U�a]gY�Yb�µijfY�X»ib�D75�� *)

les annexes

annexe 1 @Yl]eiY�� **annexe 2 F�Z�fYbWYg�� *+annexe 3 Fiche guide synthétique pour l’auto-évaluation des bonnes pratiques 70

annexe 4 :]W\Y�acX�`Y�X»UbU`mgY�Yh�X»�jU`iUh]cb�XYg�f]geiYg� pour une situation donnée 72

annexe 5 :]W\Y�acX�`Y�XY�F9H9L�� +(

3

4


@Yg�Ã�W\Yg�dfUh]eiYg�X�Wf]jYbh�XY�aUb]�fY�UddfcZcbX]Y�`Yg��hUdYg�XY�Ù�X�aUfW\Y��Wcad`�hY�X»�ÙVcfUh]cb�X»ib�dÙb�XY�Wcbh]bi]h��X»UWh]j]h�"�il est possible d’entreprendre ibY�X�aUfW\Y�g]ad`]Ã��Y�Yb�gY�f�Z�fUbh�YlWìg]jYaYbh�Uil�Ã�W\Yg�%�{�,�Yh�%(�{�&+"��

@»YbgYaV`Y�XY�WYg�Ã�W\Yg�j]gY�{�ZUW]`]hYf�`»Uddfcdf]Uh]cb�XY�Ù�a�h\cXY�Yh�XYg�VcbbYg�dfUh]eiYg�Yb�U]XUbh�`Yif�hfUbgdcg]h]cb�XUbg�`Y�WcbhYlhY�gd�W]Ã�eiY�{�X]ZZ�fYbhg�hmdYg�d’organisations. 5Ã�b�XY�a]Yil�Yb�g]hiYf�`»cV^YWh]Z �`Yg�Ã�W\Yg�cbh��h��g�f]�Yg�Ui�acmYb�d’un code couleur qui renvoie aux cinq étapes matérialisées par le schéma ci-dessous.

Dans un but pédagogique, les bonnes pratiques

gcbh�]XYbh]Ã��Yg�[f|WY�{�ib�WcXY�Wci`Yif�.�

Fiches de 1 à 5

@Yg�h]hfYg�XYg�Ã�W\Yg�gi]jUbhYg�sont de la couleur correspondant à l’étape indiquée ci-dessus

Fiches de 6 à 8

Fiches de 9 à 14

Fiches de 15 à 20

Fiches de 21 à 27

Mesures recommandées

Mesures déconseillées, ou points d’attention particuliers

démarche d’élaboration d’un plan de continuité

Contexte et besoinsStratégie

de continuité Mise en œuvre

54

8�Ã�b]f�Ù�ghfUh�[]Y�de continuité d’activité

3

=XYbh]Ã�Yf �UbU`mgYf �évaluer et traiter

les risques

2

Déterminer les attentes de sécurité pour tenir

les objectifs

1

8�Ã�b]f�`Y�WcbhYlhY�=XYbh]Ã�Yf�`Yg�cV^YWh]Zg�

et les activités essentielles

Mettre en œuvre et assurer

l’appropriation

les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?



les fiches pratiques Comment lancer une démarche de continuité d’activité ? :=7<9�1

`Yg�d�f]a�hfYg��[�c[fUd\]eiY�Yh�ZcbWh]cbbY` �U]bg]�eiY�̀ Yg�df]bW]dUil�̂ U`cbg�XY�̀ U�a]gg]cb"� IbY�Zc]g�Ù�ghfUh�[]Y�XY�Wcbh]bi]h��hUV`]Y�

et validée par la direction de l’organisation,

doivent être impliqués, le moment venu, les

correspondants du PCA, les responsables des

métiers et processus, ainsi que tous les acteurs

concernés par la mise en œuvre d’actions spé-

W]Ã�eiYg �UÃ�b�XY�aYhhfY�Yb�dÙWY�̀ Yg�fYggcifWYg�et procédures nécessaires.

@»YlYfW]WY�Xi�D75�dcif�j�f]Ã�Yf�gcb�f�U`]gaY�Yh�gcb�YZÃ�WUW]h�" L’accompagnement à la conduite du change-

ment dans le cadre de cette démarche.

il est recommandé de : 7cbÃ�Yf�̀ Y�d]`chU[Y�Xi�dfc^Yh�Ui�fYgdcbgUV`Y�

chargé de la gestion des risques au sein de

`»cf[Ub]gUh]cb"�±�X�ZUih �`Y�fYgdcbgUV`Y�Yb�charge du métier le plus impliqué dans les

activités essentielles de l’organisation, ou le

responsable chargé de l’écoute des clients,

peuvent être désignés.

8cbbYf�Ui�fYgdcbgUV`Y�Xi�dfc^Yh�D75�̀ »Uihc!nomie et l’autorité, éventuellement par délé-

gation, sur l’ensemble des responsables de

l’organisation et des acteurs concernés par les

YZZYhg�WcbhfY�̀ YgeiY`g�cb�W\YfW\Y�{�gY�dfch�[Yf" Maintenir en place la structure de gestion

XY�D75�ibY�Zc]g�eiY�̀ U�dfYa]�fY�jYfg]cb�U��h��validée.

il est déconseillé de : 7cbÃ�Yf�`Y�d]`chU[Y�X»ib�dfc^Yh�XY�D75�{�ib�

fYgdcbgUV`Y�]bZcfaUh]eiY�ci�Ui�fYgdcbgUV`Y�XYg�gYfj]WYg�[�b�fUil �ei]�b»Uifcbh�dUg�Ù�vision « métier » de l’organisation.

condition première du succès, la direction de l’organisation doit s’impliquer fortement dans la démarche. 8�g�̀ Y�̀ UbWYaYbh �]`�g»U[]fU�XY�Wcaaib]eiYf�Yb�Yld`]eiUbh�̀ Yg�Ã�bU`]h�g�Yh�XY�acV]`]gYf�̀ Yg�responsables des métiers et des processus.

Par la suite et durant toute la phase d’éla-

boration du PCA, la direction devra valider

`Yg�f�gi`hUhg�giWWYgg]Zg�.� 8YgWf]dh]cb�Xi�WcbhYlhY �XYg�cV^YWh]Zg�Yh�

obligations de l’organisation.

Cartographie des processus clés pour la

Wcbh]bi]h� �XYg�b]jYUil�XY�gYfj]WY�Yh�X»]b!terruption acceptables.

7Ufhc[fUd\]Y�XYg�f]geiYg�Yh�]XYbh]Ã�WUh]cb�XY�WYil�ei]�îgh]Ã�Ybh�ib�hfU]hYaYbh�df]cf]!taire, compte tenu de l’attitude de l’organi-

gUh]cb�ZUWY�Ui�f]geiY"� Stratégie de continuité avec l’optimisation

des coûts de continuité tenant compte du

coût de l’interruption d’activité, du niveau

de continuité souhaité et du risque résiduel.

Moyens et procédures nécessaires à la

mise en œuvre et au suivi du plan de conti-

nuité (y compris sa composante de reprise

d’activité).

les autres conditions du succès sont : Ib�hfUjU]`�df�UÙV`Y�dcif�ZcfaU`]gYf�`Yg�

activités et processus de l’organisation avec

la nomination de responsables des métiers

et des processus.

@U�X�g][bUh]cb�X»ib�W\YZ�XY�dfc^Yh�{�`»Ui!hcf]h�� fYWcbbiY �Yh�X»ibY��ei]dY�dfc^Yh�ei]�aUfeiYfcbh�`Y�ÙbWYaYbh�cZÃ�W]Y`�XY�Ù�démarche. Cette désignation doit s’accom-

dU[bYf�X»ib�aUbXUh�df�W]gUbh�̀ Yg�cV^YWh]Zg �

comment lancer une démarche de continuité d’activité ?

objectif

@U�f�U`]gUh]cb�X»ib�dÙb�XY�Wcbh]bi]h��YZÃ�WUWY�Yh�fcVighY�b�WYgg]hY�X»]ad`]eiYf�XY��bcaVfYil�fYgdcbgUV`Yg �XY�WcbXi]fY�XYg�hfUjUil�hfUbgjYfgYg�{�`»cf[Ub]gUh]cb �X»UggifYf�Ù�Wc\�fYbWY�XYg�UbU`mgYg�Yh�X»YZZYWhiYf�XYg�UfV]hfU[Yg�XY�b]jYUi�ghfUh�[]eiY"�

les fiches pratiques :U]fY�`Y�W\c]l�X»ibY�X�aUfW\Y�Wcad`�hY�ci�g]ad`]Ã��Y :=7<9�2


@U�X�aUfW\Y�g]ad`]Ã��Y consiste, partant

XYg�YZZYhg�dcgg]V`Yg�gif�̀ Y�ZcbWh]cbbYaYbh�XY��̀»cf[Ub]gUh]cb�Yh�Yb�bY�g»]bh�fYggUbh�ei»Uil�actions qui permettent de résister au choc,

à maintenir les activités essentielles puis

à assurer une reprise normale de l’activité.

Cette démarche, qui ne permet pas d’appré-

cier globalement les priorités d’action, peut

néanmoins, dans un premier temps, être

dissociée de la démarche de gestion du risque,

laquelle pourra être conduite ultérieurement

par une approche itérative. Dans l’urgence, un PCA spécialisé sur un scénario peut être construit de cette manière. Cette démarche

est néanmoins déconseillée car elle est source

XY�hfUjUil�fYXcbXUbhg �XY�ai`h]d`]WUh]cb�XY�scénarios, et susceptible de démotiver les

fYgdcbgUV`Yg�Wcbgi`h�g�XY�aUb]�fY�f�d�h]h]jY"

la démarche complète s’inscrit dans la conti-

nuité de la politique de gestion des risques

de l’organisation. Cette démarche est la plus

avantageuse"�9``Y�dYfaYh�XY�X�Ã�b]f�̀ Yg�gW�bU!f]cg�g][b]Ã�WUh]Zg (car il n’est pas possible d’être

Yl\Uigh]Z� �fUh]cbU`]gYf�`Yg�W\c]l�Yh�a]Yil��̂igh]Ã�Yf�Uidf�g�XY�`U�X]fYWh]cb �[f|WY�{�ibY�vue globale, les investissements nécessaires.

La gestion de risque permet en outre de a]Yil�connaître les conséquences possibles ainsi que

leur probabilité d’occurrence (ou plausibilité)

et donc de X�Ã�b]f�fUh]cbbY``YaYbh�̀ U�ghfUh�[]Y�de continuité d’activité.

objectif

@Y�D75�g»]bgWf]h�XUbg�ibY�X�aUfW\Y�[`cVU`Y�XY�f�g]`]YbWY�ei]�]bh�[fY��[U`YaYbh�la gestion du risque (notamment les plans de prévention et de protection).

Néanmoins, pour satisfaire une contrainte de temps ou lorsque la démarche de ges-h]cb�Xi�f]geiY�b»Ygh�dUg�YbWcfY�Yb�d`UWY �ibY�UddfcW\Y�g]ad`]Ã��Y�Ygh�dcgg]V`Y"

Faire le choiX d’une démarche coMplÈte ou siMpliFiée

Fiches 1 à 27

Démarche complète

Fiches 1 à 8 et 14 à 27

8�aUfW\Y�g]ad`]Ã��Y

=XYbh]Ã�WUh]cb�XYg�gW�bUf]cg�Yh�XYg�Wcbg�eiYbWYg Analyse des exigences Stratégie de continuité

diFFérentes approches pour élaborer un pca

Gestion du risque : mesures d’évitement, assurance, prévention, protection,

intervention

Besoins de continuité (RH, SI, Infra,

dUfhYbU]fYg#Ä�il�

Élaboration du PCA

les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

Scénarios de conséquences

possibles


les fiches pratiques 8�Ã�b]f�`Y�d�f]a�hfY�Xi�D75� :=7<9�3

deux questions reviennent fréquemment : pour une organisation donnée, vaut-il mieux réaliser un pca unique ou réaliser un pca pour chacun des établissements/sites ? est-il perti-nent d’avoir un pca unique « tous risques » ou des pca spécialisés par risques ?�Cb�dciffU]h�répondre que, par principe, le PCA unique

Ygh�h\�cf]eiYaYbh�df�Z�fUV`Y�WUf�]`�dYfaYh�XY�aYbYf�ibY�X�aUfW\Y�Yl\Uigh]jY�Yb��j]!tant la redondance des démarches de recueil

de données, de conception et de validation.

Cependant, le paysage des organisations

diV`]eiYg�Yh�df]j�Yg�Ygh�Wcadcg��XY�X]gdcg]h]Zg�ZcbWh]cbbY`g�Yh�XY�g]hiUh]cbg�X»cf[Ub]gUh]cb�hf�g�X]ZZ�fYbhg"�=`�ZUih�XcbW�g»UXUdhYf�Ui�WUg�dUf�WUg�dcif�X�Ã�b]f�`Y�d�f]a�hfY�Xi#XYg�D75�à mettre en place.

@U�X�Ã�b]h]cb�Xi�d�f]a�hfY�Xc]h�X»UVcfX�résulter d’une analyse du contexte ainsi que des champs géographique et organisationnel pris en compte. Certaines parties de l’organi-

gUh]cb�dYijYbh��hfY�YlWìYg �gc]h�dUfWY�ei»Y``Yg�X]gdcgYbh�X�^{�X»ib�D75��dfcij� �gc]h�dUfWY�ei»Y``Yg�fY`�jYbh�X»cV^YWh]Zg�Yh�X»cV`][Uh]cbg�hf�g�gd�W]Ã�eiYg��dUf�YlYad`Y�dcif�ibY�Ã�`]U`Y�hf�g�UihcbcaY�`cWU`]g�Y�{�`»�hfUb[Yf�"�=`�Yb�résulte généralement l’établissement de plu-

sieurs PCA distincts sous la responsabilité des

dirigeants des organisations respectives. Dans

des grandes organisations internationales on

dYih�hfcijYf�U]bg]�dìg]Yifg�X]nU]bYg �jc]fY�plusieurs centaines de PCA. Dans ces cas de

Ã�[ifY�]`�Ygh�WcbgY]``��XY�X�Ã�b]f�ib�acX�`Y�XY�D75�UjYW�ib��W\UdYUi�®�ib]eiY �ib�ZcfaUh�hmdY �Yh�XY�̀ Y�ZU]fY�X�W`]bYf�XY�aUb]�fY�UXUdh�Y�dUf�`Yg�X]f][YUbhg�`cWUil"

@U�X�Ã�b]h]cb�Xi�d�f]a�hfY�f�gi`hY�Ybgi]hY�d’une analyse fonctionnelle. L’analyse des

cV^YWh]Zg�Yh�XYg�cV`][Uh]cbg�XY�`»cf[Ub]gUh]cb�permet la description des activités essentielles

ainsi que des processus et ressources qui sont

critiques pour ces activités. Par suite, l’analyse

du risque et des conséquences des sinistres,

U]bg]�eiY�`»]XYbh]Ã�WUh]cb�XYg�gW�bUf]cg�df]c!ritaires à prendre en compte, permettent de

`]a]hYf�̀ Y�d�f]a�hfY�ZcbWh]cbbY`�Uil�g]hiUh]cbg�les plus graves nécessitant une mobilisation

de l’organisation. Ainsi, certains scénarios de

Wf]gY �ei]�fYei]�fYbh�gYi`YaYbh�`»]ad`]WUh]cb�X»ib�dYh]h�bcaVfY�XY�dYfgcbbYg��YlYad`Y�X»ibY�Wf]gY�îf]X]eiY�g]ad`Y��bY�Xc]jYbh�dUg�ih]`YaYbh�ZU]fY�dUfh]Y�Xi�D75"�

Un organisme qui disposerait déjà de plu-sieurs PCA sectoriels (pour répondre à une

dUbX�a]Y �ibY�WfiY �ibY�dUbbY�]bZcfaUh]eiY¯��Yh�ei]�gYfU]h�gUh]gZU]h�XY�WYg�D75 �dYih�X�W]XYf�de les conserver. Dans cette perspective, il est

cependant recommandé de les agréger dans

un PCA global, en créant un « tronc commun »

et en prenant en compte des scénarios com-

d`�aYbhU]fYg �]XYbh]Ã��g�Yb�̀ ]U]gcb��hfc]hY�UjYW�le directeur des risques. À l’occasion de cette

démarche, certains PCA sectoriels peuvent

�hfY�fYjig�WUf�`Y�WcbhYlhY�Yh�`Yg�UhhYbhYg�XY�l’organisation peuvent avoir changé10. Il résulte

�[U`YaYbh�XY�WYhhY�XYfb]�fY�fYWcaaUbXUh]cb�que les situations de sinistres consécutives à

des actes de nature terroriste (cas notamment

des opérateurs d’importance vitale qui décli-

nent les scénarios de menace prescrits par

une directive nationale de sécurité) doivent

être incluses dans les scénarios du PCA. Dans

WY�WUg�XY�Ã�[ifY �`Yg�Xcbb�Yg�WcbÃ�XYbh]Y``Yg�gcbh�fY[fcid�Yg�XUbg�XYg�UbbYlYg�dfch�[�Yg�WcbZcfa�aYbh�{�Ù�f�[`YaYbhUh]cb"�

objectif

Une approche méthodologique souple et quelques bonnes pratiques permettent

X»YbhfYdfYbXfY�YZÃ�WUWYaYbh�ibY�X�aUfW\Y�XY�D75 �XUbg�ib�d�f]a�hfY�UXUdhUV`Y"�

déFinir le périmÈtre du pca

%$�#�7Y�WUg�XY�Ã�[ifY�dYih��hfY�]`ìghf��UjYW�`»YlYad`Y�X»ib�D75�]bZcfaUh]eiY��ci�D7=��ei]�j]gU]h�{�`»cf][]bY�Ù�X]gdcb]V]`]h��]bZcfaUh]eiY�Yh�eiY�`»cb�ZU]h��jcìYf�Yb�dfYbUbh�Yb�WcadhY�`Y�VYgc]b�X»]bh�[f]h��f]geiY�XY�dYfhY�ci�XY�acX]Ã�WUh]cb�X»]bZcfaUh]cb�gYbg]V`Yg��Yh#ci�XYg�gW�bUf]cg�nouveaux. notons à ce sujet ei»]`�Ygh�X�WcbgY]``��XY�aYhhfY�Yb�dÙWY�ib�dÙb�XY�Wcbh]bi]h��]bZcfaUh]eiY��D7=��ci�ib�dÙb�XY�Wcbh]bi]h��a�h]Yf��D7A� �g»]`g�bY�gcbh�dUg�]bh�[f�g�XUbg�ib�D75�[`cVU`"


les fiches pratiques =XYbh]Ã�Yf�`Yg�cV^YWh]Zg�Yh�UWh]j]h�g�YggYbh]Y``Yg� :=7<9�4

il faut préalablement connaître et compren-dre le contexte…@»UbU`mgY�Xi�WcbhYlhY�Ygh�ib�df�UÙV`Y�WUf�W»Ygh�Y``Y�ei]�dYfaYh�XY�df�W]gYf�`Y�d�f]a�hfY��[�c[fUd\]eiY �cf[Ub]gUh]cbbY`�Yh�ZcbWh]cbbY`��qui sera couvert par le PCA, les activités et

Yb^Yil�XY� `»cf[Ub]gUh]cb �gYg�cV^YWh]Zg�Yh�gYg�WcbhfU]bhYg��YlhYfbYg�Yh�]bhYfbYg� �`Yg�acteurs clés ainsi que les moyens techniques

et humains dont elle dispose ou peut disposer.

L’analyse du contexte permet d’abord de préciser le périmètre de l’organisation pris en compte. L’entité qui rédige le PCA peut être

`»cf[Ub]gUh]cb�Wcad`�hY��`»YbhfYdf]gY�ci�̀ »UXa]!b]ghfUh]cb� �ibY�X]fYWh]cb�ci�ib]h��X»UZZU]fYg �ci�ib�WYbhfY�hYW\b]eiY"�@Y�d�f]a�hfY�g»Yldf]aY�en termes organisationnel, géographique ou

ZcbWh]cbbY`"�L’analyse du contexte permet également d’apprécier les niveaux de risques acceptables pour l’organisation.

¯dcif�]XYbh]Ã�Yf�`Yg�UWh]j]h�g�ei]�gcbh�b�WYg!saires à l’accomplissement des objectifs ou mis-sions de l’organisation… Les activités sont généralement les grands

V`cWg�ZcbWh]cbbY`g�]XYbh]Ã��g�XUbg�`»cf[Ub]!gramme, matérialisés par des grandes direc-

h]cbg �dUf�YlYad`Y�`Yg�UW\Uhg �`Yg�fYggcifWYg�humaines, la chaîne logistique, la production,

`Y�WcaaYfW]U` �̀ Yg�Ã�bUbWYg"�7YfhU]bYg��UWh]j]h�g�dYijYbh��hfY�YlWìYg �dUf�YlYad`Y�dUfWY�qu’elles sont autonomes et disposent de leur

propre PCA.

… préciser les apports de ces activités pour le fonctionnement de l’organisation, les rela-tions avec les partenaires, la performance et la création de valeur…7Y�hfUjU]`�dYfaYh�X»]XYbh]Ã�Yf�`Yg�UWh]j]h�g�ei]�gcbh�YggYbh]Y``Yg�Ui�ZcbWh]cbbYaYbh�XY�`»cf[Ub]gUh]cb�dcif�`»UhhY]bhY�XY�gYg�cV^YWh]Zg�et le respect de ses obligations. Certaines

activités qui ne sont pas dans le « cœur de

métier » peuvent néanmoins être essentielles

Ui�gYbg�c��`Yif�bcb!ZcbWh]cbbYaYbh�dciffU]h�YbhfUjYf�̀ U�dcifgi]hY�XYg�cV^YWh]Zg�ci�̀ U�hYbiY�des obligations.

…et décrire les objectifs ou enjeux principaux de chaque activité essentielle.�=`�g»U[]h�X»cV^YWh]Zg�eiU`]hUh]Zg�ci�eiUbh]hUh]Zg �ei]�dYijYbh��hfY�Yldf]a�g�Yb�hYfaYg�Ã�bUbW]Yfg �de part de marché, de niveau de service, de

productivité, et concerner des aspects straté-

giques ou opérationnels.

DUf�YlYad`Y�.�5ggifYf�`Y�aY]``Yif�gYfj]WY�Uil�igU[Yfg�ci�

clients.

7cbhf]ViYf�{�Ù�Zcifb]hifY�XY�dfYghUh]cbg�Ã�UV`Yg�Yh�XY�eiU`]h�"�8]a]biYf�`Yg�Wc�hg�XY�ZcbWh]cbbYaYbh"�ËhfY�WUdUV`Y�X»U[]`]h��dcif�g»UXUdhYf�Uil�

changements.

identiFier les obJectiFs et les activités essentielles

les

Fich

es p

rati

qu

esle

s an

neX

es

3

4

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?

2

1

pou

rqu

oi é

labo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?


les fiches pratiques 7Ufhc[fUd\]Yf�`Yg�dfcWYggig�Yh�`Yg�Ä�il�Yh�X�Ã�b]f�`Yif�Wf]h]W]h� :=7<9�5

les processus peuvent être propres à une activité ou être communs à plusieurs activi-tés et comme ils sont souvent associés à un

gmgh�aY�X»]bZcfaUh]cb �Ù�WUfhc[fUd\]Y�XYg�gmgh�aYg�X»]bZcfaUh]cbg�dYih�U]XYf�{�̀ Yg�]XYbh]!Ã�Yf"�@Yg�Ä�il�WcbWYfbYbh�̀ Yg��W\Ub[Yg�Yb�Ybhf�Y�ci�gcfh]Y�XYg�gmgh�aYg�X»]bZcfaUh]cb�/�U]bg]�que les échanges physiques : électricité, eau,

aUh]�fYg�dfYa]�fYg"

les processus critiques�gcbh�WYil�ei]�gcbh�essentiels pour le maintien de l’activité. Ce

hfUjU]`�X»]XYbh]Ã�WUh]cb�Xc]h��hfY�f�U`]g��{�dUfh]f�d’entretiens avec les responsables des métiers

Yh�XYg�dfcWYggig"�@»]XYbh]Ã�WUh]cb�XYg�VYgc]bg�Yh�ressources nécessaires associées est présentée

XUbg�`Yg�Ã�W\Yg�gi]jUbhYg"�@»UbU`mgY�XYg�dfc!WYggig�Xc]h�WcadfYbXfY�`»]XYbh]Ã�WUh]cb�XYg�]bhYfZUWYg��XcbbYifg�X»cfXfY �dfYghUhU]fYg�"�La cartographie des processus critiques doit

être validée par la direction.

il est recommandé de cartographier les

processus de l’organisation.

il est très fortement recommandé de cartogra-

d\]Yf�̀ Yg�Ä�il�YbhfY�̀ Yg�gmgh�aYg�X»]bZcfaUh]cb�giddcfhUbh�̀ Yg�X]ZZ�fYbhg�dfcWYggig�XY�̀ »cf[Ub]!gUh]cb�/�WYhhY�WUfhc[fUd\]Y�Ygh�b�WYggU]fY�dcif�la détermination des impacts qui devront être

hfU]h�g�dUf�̀ Y�dÙb�XY�Wcbh]bi]h��]bZcfaUh]eiY"�9``Y�gY�X�W`]bY�UggYn�bUhifY``YaYbh�{�dUfh]f�XY�la cartographie des processus.

objectif

7\UeiY�UWh]j]h��YggYbh]Y``Y�U�VYgc]b�XY�dfcWYggig�Yh�XY�Ä�il�dcif�ZcbWh]cbbYf"�=`�g»U[]h�dUf�YlYad`Y�XY�Ù�dUmY �Xi�gmgh�aY�XY�df]gY�XY�WcaaUbXY �Xi�gmgh�aY�XY�`]jfU]gcb �XY�̀ U�W\U�bY�`c[]gh]eiY �Xi�Ä�il�XY�aUh]�fY�dfYa]�fY �YhW"�@U�WUfhc[fUd\]Y�XYg�dfcWYggig �XYg�Ä�il�Yh�XY�`Yif�Wf]h]W]h��dYfaYh�XY�a]Yil�en appréhender les relations.

cartographier les processus et les FluX et déFinir leur criticité

activités et processus

Description des activités de l’organisation

Activité 1

Activité 2

Activité 3

Activité 4

Chaque activité s’appuie sur des processus ci�XYg�Ä�il

Les processus ont des besoins de sécuritéqui nécessitent des ressources

Processus 3 (i.e. fabrication)

Processus 4 (i.e. approvisionnement)

Processus 5 (i.e. maintenance)

Processus 5 (i.e. commande) Besoins -----> Ressources

Besoins -----> Ressources




Processus 2 (i.e. livraisons)


=XYbh]Ã�Yf�Yh�ZcfaU`]gYf�`Yg�VYgc]bg�XY�Wcbh]bi]h� :=7<9�6

objectif

Dcif�aU]bhYb]f�`»UWh]j]h��Ui�b]jYUi�Yl][��dUf�`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg��]XYbh]Ã��g �`Yg�dfcWYggig�Xc]jYbh�f�dcbXfY�{�XYg�cV^YWh]Zg�XY�g�Wif]h� �eiY�`»cb�UddY``Y��UhhYbhYg�®�ci��VYgc]bg�®�Yh�ei]�Xc]jYbh��hfY�]XYbh]Ã��g"

identiFier et Formaliser les Besoins de continuité


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

2.3page 1/2

À partir des discussions avec les respon-

sables des métiers, il est possible de dégager

des attentes, qui peuvent être sériées par

Wf]h�fYg �gcig�Ù�ZcfaY�8"="7"H"9"G"�.

disponibilité, continuité de service, régu-

Ùf]h� �f�g]ghUbWY�Uil�XmgZcbWh]cbbYaYbhg�Yh�Uil�fidhifYg �fcVighYggY"�7YW]�Xc]h�dcijc]f��hfY�aYgifUV`Y �dUf�YlYad`Y�Yb�hYfaYg�XY�Ã�UV]`]h��XYg�dfYghUh]cbg"

intégrité, c’est-à-dire que le service/produit

livré est bien celui attendu, dans l’état pres-

crit. Si ce n’est pas le cas, le service n’est pas

rendu, conduisant à un arrêt (plus ou moins

long) du service.

7cbÃ�XYbh]U`]h� �dfchYWh]cb�XYg�]bZcfaUh]cbg�gYbg]V`Yg"�IbY�dYfhY�XY�WcbÃ�XYbh]U`]h��dYih�WcbXi]fY�{�`»Uff�h�XY�WYfhU]bYg�UWh]j]h�g�hf�g�gYbg]V`Yg �jc]fY�{�̀ U�ZU]``]hY�XY�WYfhU]bYg�cf[U!b]gUh]cbg��WZ"�`Yg�WUg�df�gYbh�g�Yb�UbbYlY�"

traçabilité, visibilité, connaissance des

�j�bYaYbhg"�@U�hfU�UV]`]h��dYih��hfY�]bX]g!pensable pour permettre d’assurer des pres-

hUh]cbg��dUf�YlYad`Y�̀ Y�hfUbgdcfh�XY�aUh]�fYg�dangereuses).

évolutivité,�WUdUW]h��{�g»UXUdhYf�Uil�W\Ub!gements et à l’environnement et donc à

assurer la robustesse. L’absence d’évolutivité

dYih�WcbXi]fY�{�`»Uff�h�XUbg�XYg�WcbhYlhYg�changeants.

sûreté,�WUdUW]h��{�`]a]hYf�`Yg�YZZYhg�X»UWhYg�malveillants.

lors de cette étape, il est souhaitable de �eiUbh]Ã�Yf�`Y�b]jYUi�Xi�VYgc]b�XY�Wcbh]bi]h� �en utilisant trois indicateurs :

1. le niveau de service minimum (une perte

XY�gYfj]WY�ei]�aU]bh]Ybh�`Y�ZcbWh]cbbYaYbh�Ui!XYggig�XY�WY�gYi]`�UZZYWhY�dYi�`Y�gYfj]WY�Ã�bU`"�5�WcbhfUf]c�ibY�dYfhY�XY�b]jYUi�XY�gYfj]WY�en dessous de ce seuil est considérée comme

ibY�]bX]gdcb]V]`]h��"�7Y�gYi]`�dYih��hfY�X�Ã�b]�WcaaY�ib�dcifWYbhU[Y�XY�WcbZcfa]h��a]b]!mum ou un pourcentage de produits/services

commandés livrés à la date/heure convenue.

8ifUbh�̀ U�d\UgY�XY�fYdf]gY�X»UWh]j]h��Udf�g�ib�g]b]ghfY �]`�Ygh�dcgg]V`Y�XY�X�Ã�b]f�XYg�gYi]`g�dìg�ZU]V`Yg �Yb�acXY�X�[fUX�"

2. le niveau d’indisponibilité minimum. Tout

Uff�h�XY�Xif�Y�]bZ�f]YifY�{�WY�b]jYUi�Ygh�hc`�!rable. Pour des indisponibilités de courtes

Xif�Yg�Yh�fYÙh]jYaYbh�Zf�eiYbhYg�`»Yl][YbWY�Ygh�Yldf]a�Y�Yb�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb�Yh�Yb�Zf�eiYbWY�aUl]aU`Y �WY�ei]�gY�WcaV]bY�en pourcentage de temps d’indisponibilité

dYbXUbh�ibY�Xif�Y�g][b]Ã�WUh]jY"�Dcif�WY�ei]�WcbWYfbY�ib�g]b]ghfY �fUfY�dUf�X�Ã�b]h]cb �Ù�aYgifY�gY�ZU]h�dUf�Ù�Xif�Y�aUl]aU`Y�X»]bhYf!ruption de service acceptable (DMIA).

3. les ressources qui restent indispensables

dcif�dYfaYhhfY�Ù�fYdf]gY�X»UWh]j]h�"�9``Yg�dYijYbh�g»Yldf]aYf�Yb�eiUbh]h��XY�ghcW_�{�df�gYfjYf �XY�`cWUil�XY�fYd`] �ci�XY�b]jYUi�XY�a]gY�{�^cif�XYg�Xcbb�Yg�gUijY[UfX�Yg��WY�ei]�fYj]Ybh�{�X�Ã�b]f�̀ U�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y �XYdi]g�Ù�XYfb]�fY�sauvegarde).

page suivante


les fiches pratiques =XYbh]Ã�Yf�Yh�ZcfaU`]gYf�`Yg�VYgc]bg�XY�Wcbh]bi]h� :=7<9�6

%%�#�=`�dYih��hfY�gi[[�f��XY�aYhhfY�Yb�dÙWY�XYg�gYfjYifg�]bZcfaUh]eiYg�UWWYgg]V`Yg�gif�=bhYfbYh��j]U�XYg�`]Ybg�g�Wif]g�g�Yh�dfch�[�g��UÃ�b�XY�dYfaYhhfY�`Y�ZcbWh]cbbYaYbh�XYg�df]bW]dUil�a�h]Yfg�Yb�acXY�X�[fUX�"�9b�YZZYh�`Y�giddcfh�dUd]Yf�b»Ygh�[�b�fU`YaYbh�dUg�giZÃ�gUbh�dcif�permettre un fonctionnement satisfaisant en mode dégradé.

Mode dégradé : durée maximale 3 mois, avec la paye assurée par des provisions sur salaire.

Reprise de la paye normale

DMIA du mode normal : 3 mois

DMIA du mode dégradé : 3 jours

Pour illustrer la notion de DMIA, on peut

W]hYf�`»YlYad`Y�Xi�dfcWYggig�XY�`]jfU]gcb�ci�XY�Zcifb]hifY�XY�WYfhU]bg�dfcXi]hg�ci�gYfj]WYg�sensibles qui ne peut accepter un délai de

retard (DMIA) supérieur à 12 heures (ce peut

être le cas d’une livraison de médicaments),

ou supérieur à 30 minutes (une intervention

XY�gYfj]WY�X»if[YbWY�dUf�YlYad`Y�"8Ubg�ib�UihfY�XcaU]bY �cb�dYih�W]hYf�̀ »YlYad`Y�d’un processus de paye qui ne peut pas accep-

hYf�ib�fYhUfX��8A=5��gid�f]Yif�{�hfc]g�^cifg �en mode dégradé (avec un versement de

provisions sur salaires). Cette possibilité de

dcijc]f�ZcbWh]cbbYf�Yb�acXY�X�[fUX��dYfaYh�ibY�]bhYffidh]cb�aUl]aU`Y��8A=5��Xi�ZcbW!tionnement normal de plusieurs mois. Une

UihfY�ZcfaiÙh]cb�Wcbg]ghY�{�X]fY�eiY�̀ U�Xif�Y�aUl]aU`Y�XY�ZcbWh]cbbYaYbh�Yb�acXY�X�[fUX��est de plusieurs mois :

le mode dégradé est souvent présenté

WcaaY�ib�dU``]Uh]Z�gUbg�ei»]`�m�U]h�ibY�UbU`mgY�précise de son contenu. Cependant, pour tout

mode dégradé il convient de :

�8�Ã�b]f�̀ Yg�W]fWcbghUbWYg�XY�gU�a]gY�Yb�dÙWY" Intégrer les aspects réglementaires spé-

W]�Z]eiYg�Ui�acXY�X�[fUX��Yh�bchUaaYbh�`Yg�acX]Ã�WUh]cbg�Ybj]gU[YUV`Yg�XYg�hYlhYg�réglementaires dans des circonstances

YlWYd��h]cbbY``Yg�"

�8�Ã�b]f�XYg�dfcW�XifYg�gd�W]Ã�eiYg�Yh�XYg�aYgifYg�X»cfXfY�îf]X]eiY"�Dcijc]f�hfUbgZ�fYf�̀ Y�dYfgcbbY`�gif�XYg�dcghYg�

bcijYUil" Faire éventuellement appel à l’intérim.

�FYgdYWhYf�`Yg�hYlhYg�f�[`YaYbhU]fYg�gd�W]!Ã�eiYg��WcaaY�XUbg�`Y�XcaU]bY�Xi�hfUbgdcfh�XY�jcmU[Yifg�ZYffcj]U]fY�ci�U�f]Yb �UjYW�XYg�X]gdcg]h]Zg�dYfaYhhUbh�X»UXUdhYf�`Yg�acmYbg�XY�hfUbgdcfh�Uil�fYggcifWYg�\iaU]bYg�X]gdc!nibles, dans le cadre d’un dialogue social).

Disposer de solutions de dernier secours,

connues et rapidement mises en œuvre11.

il est recommandé�XY�ZU]fY�jU`]XYf�`Y�b]jYUi�dégradé, qu’il est prévu de maintenir en

période de crise, par les représentants des

clients.

La description de chaque niveau dégradé doit

b�WYggU]fYaYbh�Yld`]W]hYf�. Le délai avec lequel il est mis en place.

La durée pendant laquelle on peut

s’en accommoder avant un retour à un

�ZcbWh]cbbYaYbh�bca]bU`��ci�ac]bg�X�[fUX� �g]�dìg]Yifg�b]jYUil�gcbh�X�Ã�b]g�UjUbh�ib�fYhcif�à la normale).

�@Yg�acXU`]h�g�UWWYdhUV`Yg�XY�ZcbWh]cbbYaYbh�en mode dégradé.

page 2/2


les fiches pratiques =XYbh]Ã�Yf�`Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�`Yg�fYggcifWYg�Wf]h]eiYg� :=7<9�7

ces moyens, appelés « ressources critiques », peuvent être différenciés en cinq catégories :

Infrastructures��V|h]aYbhg �`cWUil �acmYbg�de transport…).

Systèmes d’information��gmgh�aYg�]bZcf!matiques, serveurs, moyens de télécommu-

b]WUh]cb � f�gYUi� `cWU` �aYggU[Yf]Y �UWW�g�Internet…).

Ressources humaines (équipes disponibles,

fYbZcfhg �dYfgcbbYg�W`YZg �eiU`]Ã�WUh]cbg �Wca!pétences, motivation…).

Ressources intellectuelles et immatérielles

�Xcbb�Yg�]bhYfbYg �]bZcfaUh]cbg�ghfUh�[]eiYg12,

]bZcfaUh]cbg�{�dfch�[Yf̄ �" Prestations externes (eau, énergie, sous-

hfU]hUbhg¯��ci�dfcXi]hg�Wf]h]eiYg��aUh]�fYg�dfYa]�fYg�fUfYg�"

il est recommandé : D’intégrer dans le PCA de l’organisation le

b]jYUi�X�[fUX��XYg�dfYghUh]cbg�eiY�`Yg�Zcif!nisseurs ont prévu de maintenir en période

de crise.

8»]bh�[fYf�XUbg�`Yg�gmgh�aYg�Wf]h]eiYg�XY�`»cf[Ub]gUh]cb�gcb�gmgh�aY�h�`�d\cb]eiY �gYg�gYfjYifg�XY�Ã�W\]Yfg�Yh�gcb�gmgh�aY�XY�messagerie.

pour l’identification des ressources cri-tiques immatérielles il peut être utile de se

f�Z�fYf�Uil�%$�UWh]Zg�]aaUh�f]Y`g�]XYbh]Ã��g�dUf��̀»CVgYfjUhc]fY�XY�`»]aaUh�f]Y`�(www.observatoire-immateriel.com) :

Les biens immatériels (intellectuels) peuvent

ne pas être inclus. Certaines organisations

Wcbg]X�fYbh�Yb�YZZYh�ei»]`g�fY`�jYbh�XY�ghfiW!

objectif

Dcif�f�dcbXfY�Uil�UhhYbhYg�XY�g�Wif]h��XYg�dfcWYggig�Yh�Ä�il�Wf]h]eiYg�ei]�j]YbbYbh�X»�hfY�X�Ã�b]g �]`�Ygh�b�WYggU]fY�XY�ZcfaU`]gYf�XYg�cV^YWh]Zg�XY�X]gdcb]V]`]h��pour les moyens.

�%&�#�9lYad`Yg�.�d`Ub�ghfUh�[]eiY ��hiXYg�XY�WcbWiffYbWY �Ã�W\]Yfg�W`]Ybhg�Yh�dfcgdYWhg �`]ghY�XYg�Zcifb]ggYifg �WcbhfUhg �Xcbb�Yg�WcadhUV`Yg �dU]Y �Xcgg]Yfg�Xi�dYfgcbbY` �cf[Ub][fUaaY�X�hU]``��XY�`»YbhfYdf]gY �VfYjYhg �d`Ubg �dfcW�X�g�XY�ZUVf]WUh]cb �WcXYg�gcifWYg¯

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

identiFier les besoins de continuitépour les ressources critiques

page 1/2

page suivante

CAPITALHUMAIN

CAPITALSYSTÈMES D’INFO.

CAPITALMARQUES

CAPITALFOURNISSEURS

PARTENAIRES

CAPITALORGANISATIONNEL

CAPITALACTIONNAIRES

CAPITALTECHNOLOGIQUE

CAPITALSOCIÉTAL

CAPITALNATUREL

CAPITALCLIENTS

actiFsimmatériels


les fiches pratiques =XYbh]Ã�Yf�`Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�`Yg�fYggcifWYg�Wf]h]eiYg�

hifYg�gd�W]Ã�eiYg�Yh�eiY�̀ Y�D75�Xc]h�gY�̀ ]a]hYf�Uil�f]geiYg�cd�fUh]cbbY`g��Wcbg�eiYbWYg�XY�perte de ressource matérielle critique sur

l’activité). Néanmoins leur inclusion dans la

démarche de PCA reste généralement souhai-

table, notamment dans les environnements

concurrentiels.

la formulation des attentes de continuité permet de préciser le périmètre du pca : Le PCA doit prendre en compte les pertes des

fYggcifWYg�Wf]h]eiYg�ei]�[�b�fYbh�̀ U�fidhifY�XY�processus critiques et par voie de conséquence

la perte d’activités essentielles. Néanmoins une

UddfcW\Y�dUf�hfcd�Wcad`YlY�b»Ygh�dUg�fYWca!aUbX�Y"�DUf�YlYad`Y�Ù�dYfhY�XY�WcbZcfa]h��îf]X]eiY�Ygh�[�b�fU`YaYbh��hfU]h�Y�gYi`YaYbh�dUf�̀ Y�gYfj]WY�̂ if]X]eiY�Yh�bY�̂ igh]Ã�Y�XcbW�dUg�le déclenchement du PCA.

Il est conseillé de prendre en compte a minima

Ù�dYfhY�XYg�fYggcifWYg�X]hYg��XifYg�®�.�]bZfUg!

hfiWhifYg �dYfgcbbY` �gmgh�aYg�X»]bZcfaUh]cb �dfYghUh]cbg�YlhYfbYg�Yh�aUh]�fYg�dfYa]�fYg" La prise en compte des ressources imma-

h�f]Y``Yg�Ygh�fYWcaaUbX�Y"�7Y�W\c]l�dYih�X�dYbXfY�XYg�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb�Yh�XY�gcb�WcbhYlhY" @Y�W\c]l�Xi�d�f]a�hfY�Ã�bU`�Xi�D75�fY`�jY�XY�

la direction générale.

la formulation des attentes permet aussi de calculer les coûts de pca :Les attentes de continuité se traduisent par des

Yl][YbWYg�XY�Wcbh]bi]h��gif�`Yg�fYggcifWYg�Wf]!h]eiYg �ei]�[�b�fYbh�XYg�Wc�hg�XY�aU]bh]Yb��Xid`]!cation, redondance, site de secours, astreintes,

matériel de protection individuel, etc.).

Ces coûts sont analysés au cours de l’étape 4,

relative à l’équilibre entre le coût de maintien

de ressources critiques et le coût d’arrêt de

`»UWh]j]h� �ei]�dYfaYhhfU�XY�X�Ã�b]f�̀ U�ghfUh�[]Y�de continuité.

:=7<9�7

page 2/2


les fiches pratiques Mesurer les conséquences d’une interruption de service :=7<9�8

une indisponibilité est mesurable en termes de coûts : Humain (protection des travailleurs…).

DUfh�XY�aUfW\��dYfhY�XY�W\]ZZfY�X»UZZU]fYg �perte de clients...).

Conséquences des engagements commer-

W]Uil�Yh�WcbhfUWhiY`g��d�bU`]h�g �f�g]`]Uh]cbg¯�" 7cbg�eiYbWYg�^if]X]eiYg��Wc�h�f�gi`hUbh�Xi�

respect des obligations légales et réglemen-

taires, sanctions possibles, responsabilité

pénale du dirigeant…).

Impacts opérationnels (coûts de répa ra tion …).

7cbg�eiYbWYg�gcW]U`Yg��W\�aU[Y�hYW\b]eiY �impact sur les partenaires…).

Conséquences psychologiques (démotivation,

perte de moral…).

Conséquence sur l’environnement (pol lution...).

Conséquences sur des partenaires situés en

UjU` �jc]fY�Ui�b]jYUi�Xi�ZcbWh]cbbYaYbh�XY�la société.

Perte de valeur, d’image ou de réputation, et

XcbW�dYfhY�XY�WcbÃ�UbWY�ci�XY�aUfW\� �jc]fY�perte de l’activité.

objectif

@Yg�Wcbg�eiYbWYg�X»ibY�dYfhY�X»UWh]j]h��cbh�ib�Wc�h�Yh�]`�Yl]ghY�ib�gYi]`�X»]bhYffidh]cb�hc`�fUV`Y�Ui�fY[UfX�XYg�cV^YWh]Zg�Yh�Yb^Yil�XY�`»UWh]j]h�"�Ces données sont mesurables.

mesurer les conséquences d’une interruption de service

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Activité Processus Humain Financier Contractuel Environnement Juridique et réglementaire Opérationnel Social Perte

d’image

Commercialprise de

commande 1 4 2 1 1 3 1 3

Commercialrelation

client1 3 3 1 1 3 2 3

Commercial niveau de service 2 3 4 2 3 2 2 3

Commercial livraison 2 2 4 1 1 4 2 3

achat approvisionnement 1 3 2 2 3 3 2 3

production Fabrication 4 3 4 3 2 3 3 2

logistique GhcW_U[Y 1 4 2 2 1 3 2 1

ressources

humainespaye 1 3 é 1 3 1 4 2

Finances Facturation 1 4 2 1 1 1 1 2

1 = très faible - 2 = faible - 3 = fort - 4 = très fort

eXemple de mesure des conséquences de l’interruption de service et donc de la criticité de chaque processus

page 1/2

page suivante


les fiches pratiques Mesurer les conséquences d’une interruption de service :=7<9�8

le nom du processus le nom du responsable la description du processus (avec les enjeux et contraintes)�`Yg�]bhYfZUWYg�Yh�Ä�il�YlhYfbYg les activités métier rattachées le niveau de service minimum (et modes dégradés acceptables) les attentes en matière de continuité (dmia, prma) l’appréciation de la criticité du processus les conséquences (et les coûts) d’une interruption d’activité les ressources critiques associées les interdépendances critiques (en amont, en aval, avec des partenaires)

±�WY�ghUXY�]`�Ygh�dcgg]V`Y�X»�hUV`]f�ibY�Ã�W\Y�dUf�dfcWYggig�ZU]gUbh�UddUfU�hfY�.

l’analyse des conséquences d’une interrup-tion d’activité permet de valider la durée maxi-male acceptable (dmia). Ces conséquences

gcbh�dcif�VYUiWcid�X»YbhfY�Y``Yg�W\]ZZfUV`Yg�et permettent ainsi de déterminer un coût (qui

augmente quand la durée de l’interruption

Ui[aYbhY�"�7YfhU]bYg�gcbh�Yb�fYjUbW\Y�X]ZÃ�W]!`YaYbh�W\]ZZfUV`Yg�Yh�fY`�jYbh�XUjUbhU[Y�X»ibY�Uddf�W]Uh]cb�eiU`]hUh]jY��WZ"�̀ U�dYfhY�X»]aU[Y �`U�dYfhY�XY�jU`Yif �`U�dYfhY�XY�WcbÃ�UbWY�"@U�X�Ã�b]h]cb�XY�`»�W\Y``Y�XY�aYgifY �ei]�Xc]h�être la même pour tous les processus et accep-

h�Y�dUf�`Yg�fYgdcbgUV`Yg�XYg�a�h]Yfg�Yh�WYil�des processus, est un point important.

Cette analyse des conséquences de l’inter-

ruption d’activité permet ainsi de préciser le

d�f]a�hfY��ZcbWh]cbbY`�Yh�hYadcfY`��XYg�dfc!WYggig�Wf]h]eiYg �Xcbh�`Y�Vcb�ZcbWh]cbbYaYbh�Xc]h��hfY�df]j]`�[]�"�=`�dYih�g»U[]f�dUf�YlYad`Y�d’une période critique dans l’année ou le mois,

ci�X»ibY�dUfh]Y�Xi�dfcWYggig"�9b�YZZYh�ibY�activité peut n’être essentielle que certains

^cifg�XY�̀ »Ubb�Y�ci�̀ cfg�XY�W]fWcbghUbWYg�V]Yb�gd�W]Ã�eiYg"

plus il est possible de réduire le périmètre à prendre en compte, plus les travaux ultérieurs seront facilités.

page 2/2


les fiches pratiques La démarche de gestion du risque pour les activités essentielles :=7<9�9

la gestion de risque a pour objectif de limiter les effets de l’incertitude sur l’atteinte des objectifs de l’organisation. C’est un travail

X»Ubh]W]dUh]cb�ei]�Wcbg]ghY�{�]XYbh]Ã�Yf�`Yg�f]geiYg�dchYbh]Y`g �{�Yb��jUìYf�`Yg�YZZYhg�possibles et la probabilité d’occurrence, de

aUb]�fY�{�dcijc]f�X�Ã�b]f�`»cfXfY�XY�df]cf]h��des actions à conduire pour limiter l’impact et

Ù�jfU]gYaVÙbWY�XYg�f]geiYg�]XYbh]Ã��g�WcaaY�aU^Yifg"�7YhhY�X�aUfW\Y�dYfaYh�XY�fUh]cbU`]!gYf�̀ Yg�W\c]l�Yh�X»cdh]a]gYf�̀ U�dfchYWh]cb�[f|WY�à laquelle l’organisation va pouvoir atteindre

gYg�cV^YWh]Zg�XUbg�`Y�fYgdYWh�XYg�fYggcifWYg�qu’elle est prête à dégager.

la gestion du risque comprend 4 étapes :1. =XYbh]Ã�Yf les risques de toutes natures (dans

une approche « tous risques »).

2. Analyser�`Yg�f]geiYg��gY`cb�`Yg�Wf]h�fYg�XY�Zf�eiYbWY�Yh�XY�[fUj]h��Yb�̀ Yg�fY[fcidUbh�dUf�gW�bUf]cg�g][b]Ã�WUh]Zg"�3. Évaluer�WYg�f]geiYg�Yb�ZcbWh]cb�Xi�WcbhYlhY�Yh�XYg�Yb^Yil�XY�`»cf[Ub]gUh]cb��UWh]j]h�g �W\U�bY�XY�jU`Yif �Wcb^cbWhifY �cddcfhib]h�g �WcbWiffYbWY �acmYbg�Ã�bUbW]Yfg �[fUbXg�W\c]l�stratégiques…).

4. Traiter ces risques pour en limiter la

proba bilité d’occurrence et les impacts.

@U�X�aUfW\Y �X�Wf]hY�XY�aUb]�fY�UddfcZcbX]Y�XUbg�̀ Yg�Ã�W\Yg�gi]jUbhYg ��Ua�bY�{�YZZYWhiYf�une cartographie des risques, contribuant à

XcbbYf�ibY�j]g]cb�[`cVU`Y �di]g�{�ZUW]`]hYf�ibY�décision quant à la stratégie de gestion de ces

risques. L’adoption de processus cohérents et

« tous risques » dans un cadre organisationnel

complet peut contribuer à garantir que le

f]geiY�Ygh�[�f��XY�ZU�cb�YZÃ�WUWY �dYfZcfaUbhY�et cohérente au sein d’une organisation,

qu’elle soit publique ou privée. Cependant, Dí�Q�GH�PHWWUH�HQ�SODFH�UDSLGHPHQW�XQ�SODQ�GH�FRQWLQXLW«��LO�HVW�SRVVLEOH�GH�VH�OLPLWHU�¢�XQH�DQDO\VH�GHV�Hì�HWV�GHV�SULQFLSDX[�VF«QDULRV�GH�FULVHV��TXHOOHV�TXØHQ�VRLHQW�OHV�FDXVHV��VDQV�FKHUFKHU�¢�OLPLWHU�RX�SU«YHQLU�OHV�VRXUFHV�GH�ULVTXH��,O�VXï��W�DORUV�GØDOOHU�GLUHFWHPHQW�¢�OD�í�FKH�UHODWLYH�DX[�VF«QDULRV�¢�SUHQGUH�HQ�FRPSWH�GDQV�OH�3&$�

il est recommandé : De connaître les risques et de mener une

analyse de risque qui tienne compte des pro-

babilités d’occurrence des événements craints,

XY�`Yifg�]adUWhg�gif�`Y�ZcbWh]cbbYaYbh�XYg�activités de l’organisation, sur sa capacité à

gUh]gZU]fY�gYg�W`]Ybhg�Yh�]XYbh]Ã�Yf�`Yg�WUhUg!trophes contre lesquelles il est prioritaire de

se protéger.

De prendre en compte les aléas et les menaces

de nature humaine, dans une démarche « tous

risques ».

8»]XYbh]Z]Yf� Yld`]W]hYaYbh� `Yg� ]bW]XYbhg�contre lesquels l’analyse de risque conclut à

leur acceptation et donc à l’absence de besoin

XY�X�jY`cddYf�XYg�aYgifYg�dUfh]Wi`]�fYg�XY�protection.

De rédiger autant de composantes du PCA

global que de scénarios d’incidents contre

`YgeiY`g�]`�U��h��î[��ih]`Y�XY�gY�df�aib]f" 8Y�ZcfaU`]gYf�Yh�X»YbfY[]ghfYf�̀ Yg�\mdch\�gYg�

ZU]hYg�Yh�`Yg�Wcbg�eiYbWYg�]aU[]b�Yg�`cfg�XY�Ù�X�Ã�b]h]cb�XYg�gW�bUf]cg�X»]bW]XYbh" 8»]XYbh]Ã�Yf�`Yg�dUfhYbU]fYg�Yh�cf[Ub]gaYg�

Ylh�f]Yifg�{�`»cf[Ub]gUh]cb�ei]�dciffU]Ybh�être également impliqués dans la gestion du

sinistre ou de ses conséquences.

8Y�fYdfYbXfY�f�[i`]�fYaYbh�`»UbU`mgY�XY�f]geiY�YZZYWhi�Y�dcif�Yb�j�f]Ã�Yf�̀ U�dYfh]bYbWY"

objectif

5ggifYf�`»UhhY]bhY�XYg�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb�Yb�a]b]a]gUbh�`Y�f]geiY�de catastrophe.

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

la démarche de gestion du risque pour les activités essentielles

30

les fiches pratiques =XYbh]Ã�Yf�`Yg�f]geiYg :=7<9�10

�8Ubg� WYhhY� �hUdY� X»]XYbh]Z]WUh]cb� XYg�risques, et pour un niveau d’organisation

donné, l’approche par les objectifs qui peu-vent être affectés permet d’aider à réperto-rier les risques dont certains peuvent être ni perçus ni reconnus : Risques de nature stratégique��d"Yl"�]bX]g!

dcb]V]`]h��XYg�aUh]�fYg�dfYa]�fYg�fUfYg�ci�de ressources critiques, inaccessibilité de

certains pays, perte d’image ou de notoriété,

sécurité économique, hausse importante du

Wc�h�Xi�WUfVifUbh �fidhifY�aU^YifY�X»�bYf[]Y �]bgiZÃ�gUbWY�XY�hf�gcfYf]Y �WYgg]cb�X»UWh]j]h��X»ib�W`]Ybh�ci�X»ib�Zcifb]ggYif�YggYbh]Y`¯�" Risques opérationnels��d"Yl"�]bUWWYgg]V]!

`]h��X»ibY�]bZfUghfiWhifY�dUf�gi]hY�XY�WUhUg!trophe naturelle, technologique, d’acte de

hYffcf]gaY �XY�WcbÄ�]h�gcW]U`�ci�XY�WcidifY#indisponibilité de voies de communication, ou

]bX]gdcb]V]`]h��Xi�gmgh�aY�X»]bZcfaUh]cb�dUf�gi]hY�X»]bhfig]cb�{�hfUjYfg�`Yg�f�gYUil�{�XYg�Ã�bg�aU`jY]`ÙbhYg �ci�YbWcfY�]bX]gdcb]V]`]h��du personnel consécutive à une pandémie…).

Risques liés à la gouvernance et à la com-munication de l’information��d"Yl"�aUbeiY�X»]bZcfaUh]cb �XY�WccfX]bUh]cb �XY�Wc\�fYbWY �X»Ubh]W]dUh]cb �\�h�fc[�b�]h��XYg�gmgh�aYg�X»]bZcfaUh]cb�X�W]g]cbbY`g �ZcbWh]cb�XY�d]`c!hU[Y�X�Ã�W]YbhY �UVgYbWY�XY�X�W]g]cb¯�" Risques de conformité et juridiques �d"Yl"�

bcb!fYgdYWh�XYg�f�[`Yg�dfiXYbh]Y``Yg �XY�g�Wi!rité sanitaire, de protection des travailleurs

ou de l’environnement…).

@Y�d]`chU[Y�Ã�b�XY�WYg�hfUjUil�Ygh�]bX]gdYb!sable pour assurer une cohérence, car la

tendance d’un responsable est souvent de

sous-estimer les risques (parce qu’un risque

Xcbb��bY�g»Ygh�ÛaU]g�dfcXi]h�ci�V]Yb�dUfWY�que l’on souhaite inconsciemment cacher

certains risques) ou au contraire de les sures-

h]aYf��dUf�YlYad`Y�dcif�̂ igh]Ã�Yf�ibY�\UiggY�du budget).

il est recommandé d’étudier les risques éco-

bca]eiYg�ei]�d�gYbh�gif�`»cf[Ub]gUh]cb�dUf�gi]hY�X»UWh]cbg�aU`jY]`ÙbhYg�.�jc`g�X»]bZcfaU!h]cbg �XY�gUjc]f!ZU]fY�Yh�XY�gYWfYhg�XY�ZUVf]WU!h]cb �WcbhfYZU�cbg�Yh�UhhY]bhYg�{�Ù�dfcdf]�h��]bhY``YWhiY``Y �dYfhYg�XY�Xcbb�Yg�Udf�g�ib�sinistre ou une erreur de manipulation, intru-

g]cbg�XUbg�`Y�gmgh�aY�]bZcfaUh]eiY �a]gYg�\cfg�gYfj]WY�XYg�fYggcifWYg�]bZcfaUh]eiYg �X�VUiW\U[Y�XY�gUÙf]�g �f]geiY�Ã�bUbW]Yf�dUf�df]gY�XY�WUd]hUil�Ylh�f]Yifg �a]gYg�Yb�WUigY�Ui�dÙb�̀ �[U`�Yh�UWh]cbg�XY�̂ igh]WY �UhhY]bhYg�{�l’image de marque et à la réputation, etc. Ces

UWh]cbg�hciW\Ybh�Uil�cV^YWh]Zg�ghfUh�[]eiYg�ou opérationnels.

=`�Ygh�b�WYggU]fY�XY�X�Ã�b]f�`Yg�`]a]hYg�XYg�risques pris en compte (les scénarios rete-

big�gcbh�WYil�ei]�fYghYbh�XUbg�`Y�W\Uad�Xi�vraisemblable, sinon la liste serait beaucoup

trop longue et risquerait de nuire à la cré-

dibilité du travail. Cependant, il peut être

ih]`Y�XY�dfYbXfY�Yb�WcadhY�XYg�gW�bUf]cg�hf�g�dYi�jfU]gYaVÙV`Yg��hf�g�ZU]V`Y�dfcVUV]`]h� �aU]g�Wcbg�eiYbWYg�hf�g�[fUjYg��dcif�hYghYf�la capacité de l’organisation à réagir dans ces

W]fWcbghUbWYg�Ylhf�aYg�Yh�j�f]Ã�Yf�̀ U�WUdUW]h��XYg�D75�{�f�dcbXfY�{�XY�hY`g�g]b]ghfYg �gUiZ�{�jci`c]f�`Yg�hfU]hYf�dUf�ibY�UddfcW\Y�YlWì!sivement assurantielle.

objectif

@Yg�f]geiYg�Xc]jYbh��hfY�]XYbh]Ã��g�{�X]ZZ�fYbhg�b]jYUil�XY�`»cf[Ub]gUh]cb��[fcidY �X]j]g]cb �X�dUfhYaYbh �ib]h��X»UZZU]fYg��di]g�Yb�ZcbWh]cb�XYg�cV^YWh]Zg�ei]�dYijYbh��hfY�UZZYWh�g�dUf�`Y�f]geiY��ghfUh�[]eiY �cd�fUh]cbbY` �[cijYfbUbWY�Yh�WcbZcfa]h��"�

identiFier les risques

page 1/2

page suivante


L’approche « tous risques » permettant d’opti-

a]gYf�̀ Y�X]gdcg]h]Z�XY�g�Wif]h��XY�̀ »cf[Ub]gUh]cb�repose sur la prise en compte d’un ensemble

XYg�f]geiYg �hY`g�eiY�WYil�df�gYbh�g�XUbg�Ù�liste indicative ci-dessous, qui permet de les

sérier selon quatre grands types :

1. risques stratégiques Concurrence.

Risque clients.

F]geiY�Zcifb]ggYifg" =bX]gdcb]V]`]h��XYg�aUh]�fYg�dfYa]�fYg�fUfYg" Risques pays.

Perte d’image ou de notoriété.

Risques économiques.

Hausse importante du coût de l’énergie.

Déséquilibre du bilan.

Risques de liquidité.

2. risques opérationnels Risques naturels, sanitaires et

environnementaux : Risques sanitaires.

Risques pandémiques.

Risques vétérinaires.

Perturbations météorologiques graves

(tempêtes, cyclones, tornades, orages

violents).

Risques d’inondation.

Autres aléas naturels (séismes, tsunamis).

HYad�fUhifYg�Ylhf�aYg��g�W\YfYggY �neige...).

Incendies.

Risques technologiques ou accidentels :risques d’accidents majeurs (transports, informatiques, énergie, distribution de l’eau...) : Risques technologiques.

F]geiYg�`]�g�Uil�giVghUbWYg�biW`�U]fYg �radiologiques, biologiques ou chimiques.

F]geiYg�X»Yld`cg]cb"

Accident industriel.

Risques de vieillissement des installations

Yh�]bZfUghfiWhifYg" Risques accidentels de pollution.

Indisponibilité d’alimentation en énergie.

Indisponibilité d’alimentation en eau.

Indisponibilité de téléphonie.

Indisponibilité d’Internet.

8�ZU]`ÙbWY�X»ib�dfcWYggig" 8�ZU]`ÙbWY�X»ib�gmgh�aY�]bhYfbY" Risques provoqués :

Malveillance.

Intrusion.

Actions de destruction et de sabotage.

AYbUWY�dUf�Yld`cg]cb�Yh�Yb[]b�Yld`cg]Z�improvisé.

AYbUWYg�]bZcfaUh]eiYg" Jc`�X»]bZcfaUh]cbg�gYbg]V`Yg" 7cbhfYZU�cbg" Menaces nucléaires, radiologiques,

biologiques et chimiques.

3. risques de gouvernance Absence de tableau de bord pertinent.

:cbWh]cb�XY�d]`chU[Y�X�Ã�W]YbhY" Absence de coordination.

Manque d’anticipation.

<�h�fc[�b�]h��XYg�gmgh�aYg�X»]bZcfaUh]cbg�décisionnels.

3. risques de conFormité Responsabilité civile et pénale.

F�[`Yg�gUb]hU]fYg�XYg�dfcXi]hg�U`]aYbhU]fYg Protection des travailleurs.

Protection de l’environnement.

Prise en compte des risques des sous-

traitants, y compris à l’étranger.

:]`]�fY�X»Uddfcj]g]cbbYaYbh" 9b^Yil�XY�X�jY`cddYaYbh�XifUV`Y" CV`][Uh]cbg�X»]bZcfaUh]cbg�gcW]U`Yg�Yh�

environnementales (loi Grenelle II).

=XYbh]Ã�Yf�`Yg�f]geiYg :=7<9�10

page 2/2



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4



analYser et caractériserles risques

Analyser et caractériser les risques :=7<9�11page 1/2

page suivante

un risque peut être caractérisé par trois composantes : La menace (qu’elle soit d’origine humaine ou

résulte d’un aléa) ou le scénario matérialisant

la source de risque.

La/les vulnérabilités que la menace/scénario

dYih�Yld`c]hYf�dcif�Ujc]f�XYg�]adUWhg" Les impacts, classés selon le niveau de gravité

Yh�̀ Y�hmdY��\iaU]b �Ã�bUbW]Yf �Ybj]fcbbYaYbhU` �fYÙh]cbg�UjYW�̀ Yg�dUfhYbU]fYg �̂ if]X]eiY �jU`Yif �]aU[Y��Yh�Uddf�W]�g�Yb�ZcbWh]cb�XYg�cV^YWh]Zg�de l’organisation.

@Y�dfcXi]h�XYg�XYil�dfYa]�fYg�WcadcgUbhYg�dYfaYh�X»Yldf]aYf�Ù�dfcVUV]`]h��ci�dÙig]!bilité) d’un événement, source de risque pour

l’organisation.

il ne reste plus alors que deux composantes : la probabilité d’occurrence (1) et l’impact (2).

1. on analyse la probabilité d’occurrence d’une

source de risque en utilisant des seuils tels que

WYil�Yldf]a�g�XUbg�`Y�hUV`YUi��dfcVUV]`]h��d’occurrence » page suivante.

Il est conseillé de prendre une échelle avec des

b]jYUil�XUbg�ib�fUddcfh�XY�%$��WcaaY�]`ìghf��dans le tableau page suivante).

@U�dfcVUV]`]h��Ygh�ZUW]`YaYbh�aYgifUV`Y�eiUbX�il s’agit de sinistres statistiquement connus

(risques naturels notamment). Quand il s’agit

d’un risque provenant d’une action humaine,

UjYW�XYg�acXYg�cd�fUhc]fYg�bcijYUil �]`�Ygh�possible de calculer la probabilité (ou vraisem-

blance) par la combinaison de trois éléments qui

objectif

Caractériser les risques par leurs composantes.

analYse de risque

@U�ji`b�fUV]`]h��fYdf�gYbhY�̀ Yg�ZUWhYifg�]bhf]bg�eiYg�ci�ZU]V`YggY�X»ib�gmgh�aY�ei]�̀ Y�fYbXYbh�gYbg]V`Y�ci�ZfU[]`Y�XYjUbh�ib�ci�dìg]Yifg�hmdYg�XY�aYbUWYg�/eiUbX�Ù�aYbUWY�gY�WcbWf�h]gY�dUf�ib��j�bYaYbh�Yld`]W]hY �Ù�ji`b�fUV]`]h��Wcbhf]ViY�{�augmenter la gravité des impacts.

RISQUE MENACE IMPACT

IMPACT

VULNÉRABILITÉ

PROBABILITÉRISQUE

= X X

X=

9lYad`Yg�XY�ji`b�fUV]`]h�g�.

DfchYWh]cb�]bgiZÃ�gUbhY�XYg�dc]bhg�X»]adcf!tance vitale.

Bcb�a]gY�{�^cif�XYg�`c[]W]Y`g" G�Wif]h��]bgiZÃ�gUbhY�X»ib�g]hY�W\]a]eiY" 9l]ghYbWY�XY�dcfhYg�X�fcV�Yg" Absence de détection de la menace par

Yld`cg]Zg��=98�"

Localisation de répartiteur basse tension

dans les sous-sols inondables.

DfchYWh]cb� ]bgiZZ]gUbhY� XYg� Xcbb�Yg�sensibles.

Co-localisation du site de secours.

DYfgcbbY`�aU`�Zcfa�" Fournisseur unique de prestations essen-

tielles, etc.

Analyser et caractériser les risques :=7<9�11

page 2/2


caractérisent la menace : la motivation, le savoir

!ZU]fY �Ù�X]gdcb]V]`]h��XYg�acmYbg �Yh�XY�XYil�éléments qui caractérisent la vulnérabilité :

ZU]``Yg�Yh�dcfhYg�X�fcV�Yg �ZfU[]`]h��XY�Ù�W]V`Y��ei»]`�g»U[]ggY�X»]bZfUghfiWhifYg �XY�dfcWYggig �XY�gmgh�aYg�X»]bZcfaUh]cb �X»�hfYg�\iaU]bg�ci�XY�dfYghUhU]fYg�YlhYfbYg�"Les risques, naturels et technologiques, sont

WUfUWh�f]g�g�dUf�ib�U`�U �X�Ã�b]�WcaaY�ib��j�bYaYbh�dchYbh]Y``YaYbh�XUb[YfYil�Yh�ib�]adUWh�X�Ã�b]�df�UÙV`YaYbh"

2. l’analyse des impacts Xc]h�gY�ZU]fY�Yb�ZcbW!h]cb�XY�Wf]h�fYg�\cac[�bYg�Ui�gY]b�XY�̀ »cf[Ub]!gUh]cb �dUf�YlYad`Y�Yb�g»]bgd]fUbh�Xi�hUV`YUi�« analyse des impacts » ci-dessous.

Pour cette mesure d’impact il est également

WcbgY]``��XY�dfYbXfY�XYg�b]jYUil�XUbg�ib�rapport de 10.

La durée de l’interruption d’activité est un élé-

aYbh�]adcfhUbh�XYg�]adUWhg"�±�h]hfY�X»YlYad`Y �`Y�f�hUV`]ggYaYbh�XYg�g]hYg�]bZcfaUh]eiYg�]bcb!X�g�dYih�dfYbXfY�XYil�{�g]l�gYaU]bYg �dUfZc]g�dìg]Yifg�ac]g�.�]`�ZUih�dcadYf�`»YUi �g�W\Yf �Wcbhf�`Yf�̀ Yg�W|VÙ[Yg�Yh�aUh�f]Y`g �f��ei]dYf �fYeiU`]Ã�Yf �YhW"�Il est nécessaire de prendre en compte les

Wcbg�eiYbWYg�jYbUbh�XYg�Zcifb]ggYifg�Wcbg]!

X�f�g�Ui�gYbg�hf�g�Ùf[Y"�±�h]hfY�X»YlYad`Y �ib�g]hY�`cWU`]g��Yb�ncbY�bcb�]bcbXUV`Y�dYih��hfY�ZcfhYaYbh�hciW\��dUf�`Yg�YZZYhg�X»ibY�inondation : d’abord par des coupures d’élec-

hf]W]h��WcadYbg�Yg�dUf�Ù�a]gY�Yb�ZcbWh]cb!bYaYbh�XY�[fcidYg��`YWhfc[�bYg �di]g�dUf�Ù�d�bif]Y�XY�ZiY`�WUig�Y�dUf�̀ »]adcgg]V]`]h��XY�`]jfU]gcb �Yh�Ã�bU`YaYbh�dUf�`»UVgYbWY�XY�personnel par suite de l’arrêt des moyens

de transport.

Il est recommandé de :

FY[fcidYf� `Yg� f]geiYg� ]XYbh]Z]�g� Yb�quelques scénarios dimensionnant, pour

donner plus de réalité et également pour

prendre en compte simultanément plusieurs

f]geiYg�WcbWca]hUbhg�UjYW�YZZYhg�U[[fUjUbhg��dUf�YlYad`Y�`»]bX]gdcb]V]`]h��XYg�acmYbg�de communication durant une catastrophe

naturelle).

Bien prendre en compte les interdépen-

XUbWYg�Yh�YZZYhg�Yb�WUgWUXY"

7Y�hfUjU]`�Ygh�ZU]h�UjYW�̀ Y�fYgdcbgUV`Y�]XYbh]!Ã��dcif�W\UeiY�f]geiY�Yh�UmUbh�Uihcf]h��dcif�[�fYf�WY�f]geiY"�@»UbbYlY�(�XcbbY�ib�YlYad`Y�XY�Ã�W\Y�X»UbU`mgY�X»ib�hmdY�XY�f]geiY�dcif�ib�gW�bUf]c�XY�[fUbX�Zfc]X"

Probabilité d’occurrence ou vraisemblance

Niveau Description Mesure de la probabilité sur 5 années

Très forte 5 probabilité presque certaine 2�)$��%�W\UbWY�gif�&�

Forte 4probabilité forte ou attaque très probable

�XYjfU]h�gifjYb]f�{�Wcifh�hYfaY�2�)��2�%�W\UbWY�gif�&$�

Moyenne 3probabilité plausible ou attaque plausible

�dciffU]h�Uff]jYf�2�$")��2�%�W\UbWY�gif�&$$�

Faible 2 peut intervenir occasionnellement 2�$"$)��2�%�W\UbWY�gif�&$$$�

Très faible 1

probabilité très faible ou attaque

improbable. peut intervenir dans des

circonstances exceptionnelles

0�$"$)��2�%�W\UbWY�gif�&$�$$$�

Niveau moyen de l’impact

Types d’impact Sous critères Valeur de l’impact par sous critères et commentaires éventuels

Mineur 2

Humain1.1 nombre de morts

1.2 nombre de blessés

1

2

Social2.1 nombre de personnes

2.2 effet psychologique

2

2

Financier 3.1 Coût global 2

Contractuel 4.1 incidences sur les engagements 2

Cd�fUh]cbbY` 5.1 effets directs

)"&�8�Ã�W]YbWY�XYg�gcig!hfU]hUbhg3

3

9bj]fcbbYaYbh 6.1 impact environnemental 1

Image 7.1 impact sur la réputation 1

Juridique8.1 responsabilité civile ou pénale

8.2 obligations réglementaires

1

2


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

les fiches pratiques Évaluer les risques :=7<9�12

suite à l’analyse des risques, l’évaluation consiste d’abord à hiérarchiser les risques, en utilisant les critères de probabilité et X»]adUWh�X�Ã�b]g�df�W�XYaaYbh"�Une matrice

du type de celle ci-dessous peut être utilisée

{�WYh�YZZYh"L’évaluation consiste ensuite à apprécier les

f]geiYg�dUf�fUddcfh�Ui�WcbhYlhY�XY�̀ »cf[Ub]gU!h]cb �dcif�X�Ã�b]f�WYil�ei]�gcbh�UWWYdhUV`Yg�Yh�WYil�ei]�b�WYgg]hYbh�ib�hfU]hYaYbh"

=`�ZUih�bchUaaYbh�Uddf�W]Yf�`Yg�f]geiYg�Uil!quels l’organisation sait résister, les avan-

tages que certaines activités peuvent retirer

de cette prise de risque et au contraire les

inconvénients que d’autres parties de l’orga-

nisme devront subir si les risques devaient se

WcbWf�h]gYf"�=`�ZUih��[U`YaYbh�eiY�̀ Yg�X�W]g]cbg�respectent les obligations réglementaires ainsi

eiY�`Yg�UihfYg�Yl][YbWYg�UileiY``Yg�`»cf[Ub]!sation est soumise.

8Ubg�ibY�UddfcW\Y�dìg�f][cifYigY�Yh�UÃ�b�XY�pouvoir additionner certains risques, il est pré-

Wcb]g��XY�[UfXYf�`Yg�b]jYUil�XY�aYgifY�XUbg�ib�fUddcfh�XY�%$�dìh�h�eiY�XY�`Yg�fYadÙWYf�

dUf�̀ U�gYi`Y�f�Z�fYbWY�Ui�b]jYUi�dfcdcg�Y�dcif�`»YlYad`Y�dU[Y�gi]jUbhY"�@U�aUhf]WY�X»�jUìUh]cb�dfYbX�U`cfg�Ù�ZcfaY�du tableau page suivante « Gestion du risque

d’évaluation - autre version ».

Ce schéma peut encore être critiqué, parce

ei»]`�XcbbY�`Y�a�aY�dc]Xg�{�ib�f]geiY�XY�hf�g�ZU]V`Y�dfcVUV]`]h��Yh�XY�hf�g�Zcfh�]adUWh�ei»{�ib�f]geiY�XY�hf�g�ZcfhY�dfcVUV]`]h��Yh�XY�hf�g�ZU]V`Y�]adUWh"�Cb�dYih�Wcbg]X�fYf�Yb�YZZYh�ei»ib�]bW]XYbh�Zf�eiYbh�Ygh�V]Yb�Wcbbi �Yh�̀ Yg�aYgifYg�XY�f�dcbgYg�gcbh�Ugg]a]`�Yg�Yb�acXY�f�Ä�YlY"�5�WcbhfUf]c �ib�f]geiY�Ylhf�aYaYbh�fUfY�Ygh�souvent négligé et les instruments de réponse

dYi�X�jY`cdd�g"�8Y�dìg �eiUbX�̀ »]adUWh�Ygh�hf�g�élevé les conséquences ressenties sont ampli-

Ã��Yg�dUf�̀ Yg�YZZYhg�gif�̀ Yg�dUfhYbU]fYg �̀ »]adUWh�gif�̀ U�j]Y�gcW]U`Y �̀ Yg�d\�bca�bYg�U[[fUjUbhg�XY�la médiatisation et LQ�í�QH les conséquences sur

l’image, la survie de l’organisation et la société

Yb�[�b�fU`"�Dcif�WYg�fU]gcbg�]`�dYih��hfY�df�Z�!rable de donner plus de poids à l’échelle des

impacts. Il en résulte la matrice page suivante

« Gestion du risque d’évaluation - autre version

dcbX�f�Y�®"�AU`[f��gcb�UddUfYbhY�Wcad`Yl]h� �elle peut s’avérer plus opérationnelle.

objectif

Hiérarchiser et apprécier les risques.

évaluer les risques

page 1/2

Impacts

ProbabilitéCatastrophique

5

Majeur

4

Modéré

3

Mineur

2

=bg][b]Ã�Ubh��

1

Très forte 5 10 9 8 7 6

Forte 4 9 8 7 6 5

Moyenne 3 8 7 6 5 4

Faible 2 7 6 5 4 3

Très faible 1 6 5 4 3 2

9 ) Risque extrême ) 10 7 ) Risque élevé ) 8 5 ) Risque moyen ) 6 1 ) Risque faible ) 4

Niveau de risque encouru

page suivante


Évaluer les risques :=7<9�12

page 2/2


Impa

cts

Vraisemblances / Probabilités

gestion du risque d’évaluation�5IHF9�J9FG=CB�

10 000 100 000 1 M 10 M 100 M

1 000 10 000 10 000 1 M 10 M

100 1 000 10 000 10 000 1 M

10 100 1 000 10 000 10 000

1 10 100 1 000 10 000

Impa

cts

Vraisemblances / Probabilités

gestion du risque d’évaluation�5IHF9�J9FG=CB�DCB8vFv9�

10 000 30 000 100 000 300 000 1 M

1 000 3 000 10 000 30 000 100 000

100 300 1 000 3 000 10 000

10 30 100 300 1 000

1 3 10 30 100


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4


traiter, transFérer, éviter ou accepter les risques identiFiés

HfU]hYf �hfUbgZ�fYf ��j]hYf�ci�UWWYdhYf�`Yg�f]geiYg�]XYbh]Ã��g :=7<9�13

en cohérence avec la norme iso 31 000, le traitement du risque peut inclure les actions de types suivants : Un refus du risque en décidant de ne pas

démarrer ou poursuivre l’activité porteuse du

risque.

La prise ou l’augmentation d’un risque�UÃ�b�XY�saisir une opportunité.

L’élimination de la source de risque, par

YlYad`Y�Yb�fY`cWU`]gUbh�XYg�VifYUil�dcif�`Yg��`c][bYf�X»ib�ncbY�]bcbXUV`Y" Une diminution de la probabilité d’occurrence

ou de la vraisemblance, par des actions de pré-

vention, de protection et de détection13 (mesures

de protection physique ou logique, sensibilisa-

tion et mesures comportementales, détection

fUd]XY�XY�g][bUil�df�WifgYifg �Wcbhf�`Y�]bhYfbY �UWh]cbg�XY�X]ggiUg]cb�ZUWY�{�XYg�aYbUWYg�humaines, intervention préventive…).

Une modification des conséquences, par

des mesures de protection et de limitation

des impacts directs (durcissement des points

névralgiques, protection du personnel, détec-

tion rapide d’un incident anormal, capacités

et procédures d’intervention et de gestion de

crise…).

Un partage du risque avec une ou plusieurs

autres parties (incluant des contrats d’assurance

du risque).

Un maintien du risque ZcbX��gif�ib�W\c]l�argumenté.

s’agissant des risques assumés, l’organisa-

h]cb�Xc]h�W\YfW\Yf�{�hcih�ZU]fY�dcif�Yb�`]a]hYf�

l’occurrence et les impacts (actions de type 4

Yh�)� �UÃ�b�X»Uff]jYf�{�un risque résiduel accep-table. Les solutions retenues nécessiteront des

ressources et auront un coût, qui devra être

validé par la direction.

la sensibilisation des « responsables de risques » au sein de l’organisation est néces-

gU]fY�{�̀ »UXcdh]cb�X»ibY�X�aUfW\Y�\cac[�bY�Yh�cohérente visant à déterminer et proposer les

b]jYUil�XY�f]geiYg�UWWYdhUV`Yg"�IbY�jU`]XUh]cb�XY�`U�X]fYWh]cb�fYghY�]bX]gdYbgUV`Y"�9``Y�dYf!mettra de déterminer les risques nécessitant

un traitement et l’ordre de priorité dans la

mise en œuvre des traitements.

La direction centrale du renseignement intérieur (DCRI), la direction de la protection du secret de défense (DPSD) et la gendarmerie nationale peuvent aider à protéger les organisations :7Yg�hfc]g�gYfj]WYg�XY�`»vhUh�gcbh�ZcfhYaYbh�impliqués dans la prévention des ingérences

contre les institutions et les entreprises qui

constituent le tissu économique national. À

WY�h]hfY �]`g�X]gdcgYbh�X»ibY�YldYfh]gY�XUbg�`Y�domaine de la protection physique et écono-

mique des entreprises.

l’agence nationale de la sécurité des systèmes d’information (anssi) est l’autorité nationale en matière de sécurité des systèmes d’informa-tion. A ce titre, elle met à disposition gratuite-

ment sur son site (\hhd.##gg]"[cij"Zf) un certain

nombre de guides et de recommandations.

objectif

8�Ã�b]f�`Yg�aUb]�fYg�XY�dfYbXfY�Yb�WcadhY�`Yg�f]geiYg"�

�%'�#�9lYad`Y�XYg�aYgifYg�Xi�d`Ub�J][]d]fUhY �ei]�j]gYbh�{�`]a]hYf�`Y�f]geiY�X»�j�bYaYbh�XY�bUhifY�hYffcf]ghY"


Guide pour réaliser un plan de continuité d’activité 37


quels scénarios de risquesprendre en coMpte ?

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Quels scénarios de risques prendre en compte ? :=7<9�14page 1/2

page suivante

@U�X�aUfW\Y�g]ad`]Ã��Y�bY�g»]bh�fYggYfU�qu’aux effets sur la disponibilité, en prenant

Yb�WcadhY�giZÃ�gUaaYbh�XY�gW�bUf]cg�dcif�couvrir la plupart des conséquences sur les

ressources critiques :

=bZfUghfiWhifYg��V|h]aYbhg �`cWUil �acmYbg�de transport…).

Gmgh�aYg�X»]bZcfaUh]cb��gmgh�aYg�]bZcfaU!tiques, serveurs, données internes, moyens de

télécommunication, réseau local, messagerie,

UWW�g�=bhYfbYh¯�" Ressources humaines (équipes disponibles,

fYbZcfhg �dYfgcbbYg�W`YZg �eiU`]Ã�WUh]cbg �Wca!pétences, motivation…).

Ressources intellectuelles ou immatérielles

�Xcbb�Yg�]bhYfbYg �]bZcfaUh]cbg�{�dfch�[Yf̄ � DfYghUh]cbg�YlhYfbYg��YUi ��bYf[]Y �gcig!

hfU]hUbhg¯��ci�dfcXi]hg�Wf]h]eiYg��aUh]�fYg�dfYa]�fYg�fUfYg�"

… tout en précisant l’étendue du sinistre : cf[Ub]gUh]cb�Ybh]�fY�ci�ncbY�[�c[fUd\]eiY�et activités touchées.

@Yg�YZZYhg�gif�̀ Yg�fYggcifWYg�Wf]h]eiYg�cbh�XYg�conséquences sur les processus critiques et

donc sur le niveau de service ou l’interruption

d’activités essentielles. Chaque interruption

de processus critique et donc d’activité essen-

tielle a des conséquences mesurables en terme

XY�Wc�hg"�;f|WY�Ui�hUV`YUi�gi]jUbh�cb�X]gdcgY�de scénarios d’indisponibilité et l’on peut

calculer les conséquences des interruptions

ou indisponibilités des ressources critiques,

permettant de trancher sur l’opportunité de

développer des PCA (cette question est trai-

h�Y�XY�aUb]�fY�UddfcZcbX]Y �UjYW�`U�df]gY�Yb�compte du coût du PCA).

objectif

FYhYb]f�XYg�gW�bUf]cg�Yb�ZcbWh]cb�XYg�Wcbg�eiYbWYg�Uddf�W]�Yg�Ui�fY[UfX�XYg�cV^YWh]Zg�Yh�cV`][Uh]cbg�XY�`»cf[Ub]gUh]cb"

local route moyen de transport

système d'information

ressource humaine

ressource intellectuelle

fournisseur et sous-traitance

produit critique

7UhUghfcd\Y�bUhifY``Y�.�inondation

4 4 4 3 3 2 1 2

7UhUghfcd\Y�bUhifY``Y�.�tempête

2 4 4 3 2 2 1 2

Grave accident 4 1 1 4 4 2 3 1

Crise sanitaire 1 1 3 2 4 2 3 1

attentat terroriste 4 1 1 1 4 3 2 2

Crise sociale 1 1 4 1 4 2 3 3

arrêt électricité 3 3 3 4 2 1 3 3

5ff�h�HY`YWca�ou internet

3 2 2 4 2 3 3 2

1 = très faible - 2 = faible - 3 = fort - 4 = très fort

eXemple de tableau de scénario de risques�5J97�IB9�EI5BH=:=75H=CB�89G�9::9HG�GIF�@9G�F9GGCIF79G�7F=H=EI9G�


Quels scénarios de risques prendre en compte ? :=7<9�14page 2/2


conséquences pour le périmètre du pca : Le PCA doit prendre en compte les scéna-

rios qui conduisent à des situations inaccep-

hUV`Yg�/�néanmoins certains scénarios peuvent

être traités par la direction concernée sans

ZU]fY�UddY`�Ui�D75��dUf�YlYad`Y�Ù�X]fYWh]cb�îf]X]eiY�" @Y�d�f]a�hfY�Xi�D75�dYih��hfY�jUf]UV`Y�

gY`cb�Ù�hU]``Y �Ù�bUhifY�ci�Ù�Wcad`Yl]h��XY�l’organisation.

Le PCA doit comprendre au minimum les

risques opérationnels, pour lesquels l’interrup-

tion d’activité résulte de la perte de ressources

critiques.

=`�Ygh�fYWcaaUbX��XY�ZU]fY�jU`]XYf�`Y�d�f]!a�hfY�Xi�D75�dUf�Ù�X]fYWh]cb�[�b�fU`Y"

L’analyse des conséquences de pertes de res-

sources critiques sur la continuité d’activité

et de l’acceptabilité de ces interruptions d’ac-

tivité ou dégradations de niveau de service,

conduit à intégrer a priori dans le PCA une

liste de scénarios.

7YdYbXUbh �̀ U�[Ygh]cb�Xi�f]geiY�UddcfhY�XYil�éléments complémentaires :

La mesure de la probabilité d’occurrence.

@»Uddf�W]Uh]cb�Xi�f]geiY�f�g]XiY`�Udf�g�`Yg�mesures de traitement.

La liste évoquée précédemment peut donc

être réduite,

Soit parce que l’analyse de la probabilité

d’occurrence ou les mesures de prévention

fYbXYbh�WYhhY�dfcVUV]`]h��hfcd�ZU]V`Y�dcif�̂ ig!h]Ã�Yf�ibY�UWh]cb�XY�Wcbh]bi]h��ci�dUfWY�eiY�d’autres réponses sont plus pertinentes (par

YlYad`Y�ibY�dc`]WY�X»UggifUbWY�" Soit parce que l’organisation est prête à assu-

mer et accepter un risque et les conséquences

associées, sans action complémentaire.

Soit parce que les mesures de protection

prises rendent les conséquences acceptables.

Dcif�W\UeiY�gW�bUf]c�Ã�bU`YaYbh�fYhYbi�XUbg�le pca, il est recommandé d’indiquer : G»]`�m�U�XYg�aYgifYg�dUfh]Wi`]�fYg�XY�df�jYb!

tion ou protection.

@Yg�]adUWhg�df]bW]dUil�gif�`»cf[Ub]gUh]cb�Yh�gYg�WUdUW]h�g��W\]ZZf�g�" @Yg�]bX]WYg�dYfaYhhUbh�X»]XYbh]Ã�Yf�`Y�X�Vih�

de la crise.

@Yg�Wf]h�fYg�dYfaYhhUbh�XY�aYgifYf�̀ »Uad`Yif�du sinistre.



déFinir les obJectiFs de continuité en Mode déGradéet pour la reprise d’activité

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

8�Ã�b]f�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�Ù�fYdf]gY�X»UWh]j]h�

page 1/3

page suivante

±�WY�ghUXY �]`�g»U[]h�XY�Ã�lYf�XYg�cV^YWh]Zg�XY�continuité à atteindre compte tenu des besoins dans l’absolu et des scénarios de sinistre rete-nus.�7Yg�cV^YWh]Zg�dcfhYbh�gif�`Yg�UWh]j]h�g�Yh�par suite sur les processus et sur les ressources

Wf]h]eiYg"�@»UhhY]bhY�XY�WYg�cV^YWh]Zg�fYeiYffU�XYg�acmYbg�gd�W]Ã�eiYg�Yh�XYg�Wc�hg�UggcW]�g �ei]�dciffcbh�WcbXi]fY�{�fYjc]f�̀ YgX]hg�cV^YWh]Zg��jc]f�Ù�Ã�W\Y�%-�gif�`Y�V]Ùb�Wc�h#UjUbhU[Y�Xi�D75�"�±�̀ U�gi]hY�XY�WYhhY�WcbZfcbhUh]cb�YbhfY�̀ Y�coût de l’interruption d’activité et le coût du

PCA proposé, et compte tenu de la probabilité

d’occurrence, la stratégie de continuité pourra

�hfY�Ã�bU`]g�Y"

les objectifs de continuité (en matière de disponibilité) : Nous n’évoquons pas ici les

cV^YWh]Zg�{�Ã�lYf�Yb�aUh]�fY�XY�df�jYbh]cb�Yh�dfchYWh]cb��ei]�Zcbh�`»cV^Yh�Xi�hfU]hYaYbh�XYg�f]geiYg��aU]g�`Yg�cV^YWh]Zg�{�Ã�lYf�Yb�aUh]�fY�de continuité d’activités. Ces derniers sont

ZcfaU`]g�g�dUf�XYg�]bX]WUhYifg�ei]�eiUbh]Ã�Ybh�d’une part (1) l’exigence concernant les sys-tèmes en place (pour rendre possible la conti-

nuité d’activité) et d’autre part (2) l’exigence concernant les modalités de la réponse mise en œuvre à la suite d’un sinistre (pour assurer une

Wcbh]bi]h��X»UWh]j]h��WcbZcfaY�Uil�cV^YWh]Zg�XY�l’organisation) :

1. Perte maximale susceptible de résulter des impacts directs du sinistre Yh�ei»]`�bY�ZUih�dUg�dépasser pour rendre possible la continuité

X»UWh]j]h� �dUf�YlYad`Y�. DYfhY�XY�FYggcifWYg�AUl]aU`Y�5Xa]gg]V`Y�

(PRMA) pour permettre une reprise,

DYfhY�XY�8cbb�Yg�AUl]aU`Y�5Xa]gg]V`Y��D8A5� �XUbg�`Y�XcaU]bY�]bZcfaUh]eiY �ei]�

]ad`]eiY�XY�X�Ã�b]f�`Yg�acXU`]h�g�XY�gUijY!garde, duplication, reprise des données et

redémarrage (il peut n’y avoir aucune perte

en cas de réplication synchrone ou des pertes

dUfh]Y``Yg�Yb�WUg�XY�fYX�aUffU[Y�dfc[fYgg]Z�gY`cb�ib�cfXfY�XY�df]cf]h��df�X�Ã�b]�"7Yg�]bX]WUhYifg�Xc]jYbh�dYfaYhhfY�XY�eiUbh]Ã�Yf�le niveau minimum qui doit subsister juste après le sinistre pour permettre la mise en œuvre des solutions de continuité.

2. Exigences de délais pour la reprise d’activité �dUf�̀ U�a]gY�Yb�µijfY�dÙb]Ã��Y�X»ibY�gcìh]cb�palliative, puis d’une solution de secours en

acXY�X�[fUX��Yh�YbÃ�b�Ù�fYdf]gY�XYg�WcbX]!h]cbg�bcfaU`Yg��ei]�g»]adcgYbh�Uil�gcìh]cbg�à mettre en œuvre :

8if�Y�AUl]aU`Y�X»=bhYffidh]cb�5WWYdhUV`Y�(DMIA), avant de disposer d’une solution de

contournement palliative (qui mobilise des pro-

WYggig�gd�W]Ã�eiYg�Yh�ZU]h�[�b�fU`YaYbh�UddY`�{�des procédures manuelles). Le dépassement de

WYhhY�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb �dcijUbh�f�gi`hYf�XY�Ù�bcb!Zcifb]hifY�X»ib�dfcXi]h�ci�d’un service ou de la non-réalisation d’une

UWh]j]h� �UifU]h�XYg�Wcbg�eiYbWYg�X�ZUjcfUV`Yg�qui seraient inacceptables pour la tenue des

cV^YWh]Zg�ci�XYg�cV`][Uh]cbg�XY�̀ »cf[Ub]gUh]cb"�5Ã�b�XY�hYb]f�WYh�cV^YWh]Z�XY�8A=5�]`�Ygh�b�WYg!saire de préciser la ressource critique/non

critique concernée, les indicateurs précis, le

b]jYUi�XY�gYfj]WY�UhhYbXi��ZcbWh]cbbYaYbh�Yb�mode dégradé), les conséquences indirectes…

8if�Y�AUl]aU`Y�XY�FYdf]gY�hYW\b]eiY�Df�jiY��8AFD��¶�UjUbh�XY�ZcbWh]cbbYf�gY`cb�̀ Y�acXY�de secours ou le mode nominal prévu (et

donc reprise partielle ou totale des moyens

hYW\b]eiYg�Yh�]bZcfaUh]eiYg�"�@U�X�W]g]cb�XY�

objectif

DUggYf�XY�Ù�X�Ã�b]h]cb�XYg�VYgc]bg�XY�Wcbh]bi]h��{�WY``Y�XYg�X»cV^YWh]Zg�XY�Wcbh]bi]h�"

:=7<9�15


8�Ã�b]f�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�Ù�fYdf]gY�X»UWh]j]h� :=7<9�15page 2/3


déclencher le mode secours est souvent une

décision qui ne peut plus être annulée (on ne

dYih�dìg�ZU]fY��aUW\]bY�Uff]�fY�®�"

@Y�fYhcif�{�Ù�bcfaU`Y�dYih�gY�ZU]fY�dUf�dU`]Yfg�giWWYgg]Zg �W\UeiY��hUdY��hUbh�U`cfg�UggcW]�Y�{�ib�cV^YWh]Z�XY�Xif�Y�aUl]aU`Y"�7Y�Wcbh]biia�est représenté dans le diagramme ci-dessous.

Quand il y a plusieurs DMIA, la plus contraignante

Ygh�̀ U�8A=5�̀ U�dìg�ZU]V`Y �aU]g�̀ Yg�UihfYg�jU`Yifg�XY�8A=5 �`Yg�Xif�Yg�aUl]aU`Yg�XY�ZcbWh]cbbY!ment en mode dégradé et les valeurs de DMRP

ont également des conséquences importantes

sur les ressources techniques et procédures à

mettre en œuvre, qui devront être valorisées.

@U�X�Ã�b]h]cb�XYg�cV^YWh]Zg�XY�g�Wif]h� (en

aUh]�fY�X»]bh�[f]h� �XY�WcbÃ�XYbh]U`]h� �XY�hfU!�UV]`]h� �X»�jcìh]j]h��Yh�XY�g�fYh��dYfaYh�XY�df�W]gYf�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h�"8Ubg�WYhhY�dYfgdYWh]jY�cb�dYih�]XYbh]Ã�Yf�. Une perte de qualité, voire un vol ou une

détérioration volontaire des ressources, du

dfcXi]h�ci�Xi�gYfj]WY�Zcifb] �ei]�dYijYbh�gY�traduire par l’arrêt de la prestation corres-

pondante. Il est par conséquent nécessaire de

déterminer le niveau de seuil d’acceptabilité14

Xi�dfcXi]h#gYfj]WY�Ã�bU`"�@»YZZYh��hUbh�jc]g]b�de l’indisponibilité d’un produit/service, il

peut être traité par une démarche voisine,

nécessitant la mise en place rapide d’un plan

de continuité adapté.

page suivante

FiXation des obJectiFs pour assurer la continuité d’activité

D8A5�aYgifY�`Y�hYadg�aUl]aia�UWWYdhUV`Y�XifUbh�`YeiY`�`Yg�Xcbb�Yg�gcbh�dYfXiYg �WUf�Y``Yg�bY�dYijYbh�dUg��hfY�fYWcbgh]hi�Yg�/�]`�Ygh�b�WYggU]fY�XY�fYWcif]f�Uil�XYfb]�fYg�Xcbb�Yg�gUijY[UfX�Yg"

8A=5�aYgifY�Ù�Xif�Y�X»]bhYffidh]cb�XY�ZcbWh]cbbYaYbh�Xi�dfcWYggig�Ui!XY`{�XieiY`�`Yg�Wcbg�eiYbWYg�XYj]YbbYbh�intolérables.

8AFD��X�Ù]�aUl]aia�XY�fYdf]gY�hYW\b]eiY�df�ji��aYgifY�Ù�Xif�Y�X»]bhYffidh]cb�XY�ZcbWh]cbbYaYbh�XYg�dUfh]Yg�hYW\b]eiYg�Xi�dfcWYggig�UjUbh�̀ U�fYdf]gY�Yb�acXY�gYWcifg"�7YÙ�WcffYgdcbX�{�̀ U�Xif�Y�aUl]aU`Y�XY�ZcbWh]cbbYaYbh�UWWYdhUV`Y�Yb�acXY�hf�g�X�[fUX�"

Mise en œuvre du plan de retour

à la normale

Fonctionnement en mode secours

PCA parcontournement

Fonctionnementen mode secoursSinistre

PRMA : Perte de ressourcesmaximale admissible

PDMA : Perte de donnéesmaximale admissible

DMIA : durée maximaled’interruption acceptable

DMRP : durée maximale de fonctionnementen mode très dégradé = durée maximale d’interruption avant le mode secours

Fonctionnementavec solution

palliative

Mise en œuvre du plan secours

Ressources à conserverpermettant la reprise

Fonctionnementnormal

Axe du temps

�%(�#�=`�Yl]ghY�XYg�hYW\b]eiYg�dcif�X�Ã�b]f�WY�gYi]`�Yh�UggifYf�gcb�aU]bh]Yb�Yb�g]hiUh]cb�bcfaU`Y��WZ"�G]l�g][aU�"



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

8�Ã�b]f�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�Ù�fYdf]gY�X»UWh]j]h�

page 3/3

:=7<9�15

Une perte d’intégrité�Ua�bY�XUbg�ib�dfY!mier temps à localiser les produits/services

X�ZYWhiYil �UggifYf�`Yif�W`c]gcbbYaYbh�g»]`�m�a un risque de propagation, les récupérer, puis

`Yg�giVgh]hiYf�dUf�XYg�dfcXi]hg�]bh�[fYg"�7Yg�h|W\Yg�b�WYgg]hYbh�ibY�hf�g�[fUbXY�f�UWh]j]h��quand il s’agit de produits périssables qui sont

passés dans la chaîne de distribution et qui

ont une durée de vie courte. L’indisponibilité

du produit/service concerné peut être plus ou

moins longue.

IbY�dYfhY�XY�WcbÃ�XYbh]U`]h� qui couvre un

W\Uad�hf�g�Ùf[Y�Yh�Xc]h�ZU]fY�`»cV^Yh�X»ibY�

�hiXY�gd�W]Z]eiY"�9``Y�dYih�f�gi`hYf�X»]b!hfig]cbg�XUbg�`Yg�gmgh�aYg�X»]bZcfaUh]cb�UjYW�XYg�Wcbg�eiYbWYg�hf�g�[fUjYg �WcaaY�la remise en cause ou l’arrêt de certaines

activités.

Une perte de traçabilité peut également,

XUbg�XYg�g]hiUh]cbg�Ylhf�aYg�c��`Y�dfcXi]h#gYfj]WY�Zcifb]�Ygh�X»ibY�[fUbXY�jU`Yif�ci�XUb![YfYil �WcbXi]fY�{�`»Uff�h�XY�Ù�dfYghUh]cb�Yh�donc à l’indisponibilité.

Une perte de sûreté, conduisant à une action

malveillante ou de nature terroriste se traduit

généralement par une perte de disponibilité.

déroulement du pca

Sinistre


palliative

Axe du temps


durée max. d’interruption acceptable

durée max. de fonctionnement en mode très dégradé

durée max. de fonctionnement en mode dégradé de niveau 1

durée maximale de fonctionnement en mode dégradé de niveau 2

Fonctionnementen mode

secours #1

Élaborationdu PCA

Gestiondu risque

Mise en œuvre d’une solution

de contournement

Mise en œuvre d’une solution

de secours

Mise en œuvre du plan de retour

à la normale

SI en partieopérationnel

Évaluation, anticipation, décisions, mobilisation

9lYad`Y�X»ib�Uff�h�XY�`»UWh]j]h��gi]hY�{�ib�g]b]ghfY �X»ibY�fYdf]gY�Yb�acXY�X�[fUX� �X»UVcfX�dUf�ibY�gcìh]cb�XY�WcbhcifbYaYbh �di]g�dUf�ib�ZcbWh]cbbYaYbh�Yb�acXY�gYWcifg �UjYW�XYil�dU`]Yfg�giWWYgg]Zg �UjUbh�̀ Y�fYhcif�{�̀ U�bcfaU`Y"


secours #2Fonctionnement

normal

les fiches pratiques 8�Ã�b]f�`Yg�Yl][YbWYg�gif�`Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75

page 1/3

page suivante

cet objectif concerne : @Yg�gmgh�aYg�X»]bZcfaUh]cb�Yh�XY�

communication.

Les processus et l’organisation.

Les ressources intellectuelles.

@Yg�]bZfUghfiWhifYg" @Yg�dfYghUhU]fYg�YlhYfbYg" Les relations avec les partenaires.

Les relations avec l’État.

exigences pour les ressources humaines7Yg�Yl][YbWYg�dcfhYbh d’une part sur les res-

sources nécessaires pour préparer la mise en

œuvre du PCA :

Désigner le directeur des risques, les respon-

sables des risques, le responsable PCA et les

correspondants PCA.

=XYbh]Ã�Yf�`Yg�dcg]h]cbg�XY�hfUjU]`�Wf]h]eiYg�pour la continuité des activités essentielles.

Évaluer le nombre nécessaire de ressources

humaines et en particulier des postes critiques

à maintenir (décisionnel et opérationnel).

9h�d’autre part gif�`Yg�X]gdcg]h]Zg�{�df�dU!rer pour permettre la continuité des postes

critiques :

Maintenir techniquement les positions de

travail critiques :

- mécanisme d’astreinte,

- travail à distance, télétravail15,

- UWW�g��d\mg]eiY�Yh�̀ c[]eiY��Uil�Xcbb�Yg�XYg�dossiers,

- Xfc]hg�XY�̀ YWhifY�XYg�YgdUWYg�XY�ghcW_U[Y�Yh�de la messagerie,

- Wf�Uh]cb�XY�bcijYUil�WcadhYg - travail depuis un site de repli,

- X]gdcgYf�XY�WUdUW]h��{�acX]Ã�Yf�̀ Yg�UbbiU]fYg�Yh�UggifYf�`Yif�X]ZZig]cb

- capacité à conserver les mêmes numéros de

téléphone, par redirection automatique,

- polyvalence du personnel,

- prévoir les mesures d’adaptation de

l’organisation,

- aménager le temps de travail, sociétés

d’intérimaires,

- protection des travailleurs concernés,

- modalités de transport domicile-travail,

covoiturage,

- disponibilité de l’outil de travail (notamment

XYg�hYfa]bUil�Yh�acmYbg�]bZcfaUh]eiYg� �XYg�moyens de communication,

- df]gY�Yb�WcadhY�XY�̀ U�g�Wif]h��]bZcfaUh]eiY��gif�`Yg�f�gYUil �gif�`Y�dcghY�XYg�U[Ybhg� �

- prise en compte des mécanismes de sauve-

[UfXY�XYg�Xcbb�Yg�XifUbh�̀ Y�ZcbWh]cbbYaYbh�sur site de repli,

- modalités de prise en charge des coûts de

communication et de la responsabilité civile,

Prévoir les incidences pour la convention

collective, contrat de travail16 � f�[`YaYbh�intérieur, responsabilité civile, rémunération,

Wcbhf�`Y" 5ggifYf�ibY�ZcfaUh]cb�df�UÙV`Y �ibY�gYbg]V]!

lisation au travail occasionnel à distance et la

responsabilisation des personnes concernées.

Pour la suppléance du personnel :Il est recommandé, pour tout poste sensible, de

disposer du nom du titulaire et d’un suppléant.

Df�jc]f�ib�a�WUb]gaY�XY�a]gY�{�^cif�XYg�UbbiU]fYg�Yb�WUg�XY�ZcbWh]cbbYaYbh�Yb�acXY�dégradé.

objectif

5ddfcZcbX]f�`Yg�acXU`]h�g�XY�a]gY�Yb�µijfY�XYg�f�dcbgYg�dfcdcg�Yg�dcif�f�dcbXfY�Uil�cV^YWh]Zg�XY�Wcbh]bi]h� �Yh�{�`Yifg�]ad`]WUh]cbg��WcbhfU]bhYg#Yl][YbWYg��gif�̀ Yg�fYggcifWYg�]bhYfbYg�Yh�YlhYfbYg�XY�`»cf[Ub]gUh]cb�Yh�`Yg�dfcW�XifYg"

:=7<9�16

déFinir les eXigences sur les ressources nécessaires au pca

%)�#�7]fWiÙ]fY�XY�Ù�X]fYWh]cb�[�b�fU`Y�Xi�hfUjU]`��8;H��&$$+#%,�Xi�%,�X�WYaVfY�&$$+"%*�#�A�aY�g]�`»Ufh]W`Y�@"�%&&&!%%�Xi�WcXY�Xi�hfUjU]`�df�W]gY�ei»Yb�WUg�XY�W]fWcbghUbWYg�YlWYdh]cbbY``Yg�`Y�h�`�hfUjU]`�est considéré comme un aménagement du poste de travail.


8�Ã�b]f�`Yg�Yl][YbWYg�gif�`Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75 :=7<9�16page 2/3


Il peut être utilement mis à la disposition du

personnel un site web permettant de signaler

depuis le domicile toute absence au travail.

Le message est ensuite relayé au responsable

WcbWYfb�"�9b�WUg�XY�g]b]ghfY �ib�hY`�cih]`�dYfaYh�de gérer les absences en nombre.

@U�ZcfaUh]cb�Xi�dYfgcbbY`��Yh�bchUaaYbh�des suppléants) doit apporter la capacité à

UggifYf�XYg�dcg]h]cbg�XY�hfUjU]`�X]ZZ�fYbhYg" Il est recommandé d’avoir une gestion des

WcbbU]ggUbWYg�XUbg�̀ »cf[Ub]gUh]cb�ei]�ZUW]`]hYfU�Ù�f�XUWh]cb�Xi�D75�Yh�̀ »UWW�g�Uil�]bZcfaUh]cbg�ih]`Yg�dUf�XYg�dYfgcbbYg�X]ZZ�fYbhYg�Yh�XYdi]g�XYg�̀ ]Yil�X]ZZ�fYbhg�XYg�acXU`]h�g�\UV]hiY``Yg"

exigences pour les systèmes d’information et de communication7YhhY�dUfh]Y�Ygh�dUfZc]g�UddY`�Y�dÙb�XY�Wcbh]!bi]h��]bZcfaUh]eiY��D7=��dUf�cddcg]h]cb�Ui�plan de continuité « métier » (PCM).

@Yg�cV^YWh]Zg�XY�8A=5 �8AFD�Yh�D8A5�cbh�XYg�Wcbg�eiYbWYg�hf�g�X]fYWhYg�gif�`Yg�gcìh]cbg�techniques à prévoir :

8�WcidYf�̀ Y�gmgh�aY�X»]bZcfaUh]cb�Yb�dÙeiYg�gYWcifUV`Yg�\cac[�bYg" F�U`]gYf�ibY�UfW\]hYWhifY�Xi�gmgh�aY�X»]bZcf!

aUh]cb�dYfaYhhUbh�XY�f�dcbXfY�Uil�Yl][YbWYg�X�Ã�b]Yg�Yb�hYfaYg�XY�X�Ù]�XY�gYWcifg�Yh�XY�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y�.- niveau de redondance et d’éloignement des

centres de secours,

- gmgh�aY�{�\UihY�X]gdcb]V]`]h��dcif�ibY�dUfh]Y�des applications les plus critiques (réplica-

tion synchrone),

- gmgh�aY�dYfaYhhUbh�ibY�fYdf]gY�{�W\UiX �UjYW�ib�fYX�aUffU[Y�dfc[fYgg]Z�XYg�Udd`]WUh]cbg �par ordre de priorité,

- gmgh�aY�dYfaYhhUbh�ibY�fYdf]gY�{�Zfc]X �{�dUfh]f�XY�̀ U�XYfb]�fY�gUijY[UfXY �UjYW�[Ygh]cb�Ã�bY�XY�Ù�d\UgY�XY�fYWcijfYaYbh"

7cbhfUWhiU`]gYf�`Yg�dfYghUh]cbg�YlhYfbYg�Yb�aUh]�fY�X»Yl][YbWYg�XY�Wcbh]bi]h��X»UWh]j]h� �ZcfaU`]gYf�Ù�aU]bhYbUbWY�UjYW�XYg�Yb[U[Y!ments de résultats.

Disposer de moyens de télécommunication

g�Wif]g�g� XY� gYWcifg� �dUf� YlYad`Y� UWW�g�dUf�gUhY``]hY �acmYbg�fUX]c�df]j�g �gmgh�aYg�d’alerte robustes). Pour ce qui concerne l’État,

XYg�f�gYUil�gd�W]Ã�eiYg�\UihYaYbh�fcVighYg�de phonie et de transmission de données sont

a]g�Yb�µijfY"�7Yg�f�gYUil �hchU`YaYbh�]bX�!

dYbXUbhg�XYg�f�gYUil�diV`]Wg�Wcbhf]ViYbh�{�la résilience en cas de catastrophe. L’adoption

XY�hY`g�X]gdcg]h]Zg�Xc]h��hfY�Ybj]gU[�Y�dUf�`Yg�cf[Ub]gUh]cbg�ei]�X�dYbXYbh�ZcfhYaYbh�XYg�moyens de télécommunication pour assurer la

gestion de crise et la mise en œuvre de leur PCA.

Externalisation des sites de secours : Gcìh]cb�UhhfUWh]jY�Xi�dc]bh�XY�jiY�Ã�bUb!

cier (coût d’acquisition remplacé par un coût

annuel du contrat).

J�f]Ã�Yf�WYdYbXUbh�`Y�b]jYUi�XY�gYfj]WY�Yh�`Yg�acXU`]h�g�XY�Wcbh]bi]h� �`»Yl]ghYbWY�XY�séances d’entraînement, l’évolutivité au cours

du temps, le risque que plusieurs clients du

a�aY�g]hY�XY�gYWcifg�ZUggYbh�jU`c]f�̀ Yif�Xfc]h�au même moment, la protection des données

dYbXUbh�ci�Udf�g� `»ih]`]gUh]cb�Xi�g]hY�XY�secours, etc.

Les sauvegardes : La procédure de récupération des sauve-

[UfXYg�Xc]h��hfY�UggYn�Ä�Yl]V`Y�dcif�dcijc]f�Uigg]�V]Yb�fYÙbWYf�fUd]XYaYbh�`Yg�gmgh�aYg�critiques de l’organisation que relancer, même

UjYW�XYg�X�Ù]g�UWWfig �̀ »YbgYaV`Y�Xi�gmgh�aY" La procédure de récupération des sauve-

gardes doit être testée sur l’ensemble des

gYfjYifg�Yh�gmgh�aYg�ih]`]g�g�dUf�ibY�UWh]j]h��XY�`»cf[Ub]gUh]cb�Yh�j�f]Ã��Y�dUf�`Yg�fYgdcb!sables « métier ».

Il est également recommandé de disposer

de vielles sauvegardes (6 mois à 1 an) pour

améliorer la robustesse des procédures de

sauvegarde.

Les moyens de télécommunication : =`�Ygh�fYWcaaUbX��XY�j�f]Ã�Yf�`Yg�dcgg]V`Yg�

vulnérabilités de l’opérateur (connaissance de

l’architecture logique et physique, des dispo-

g]h]Zg�XY�g�Wif]h��Yh�XY�Wcbh]bi]h��X»UWh]j]h�¯�" @U�ai`h]d`]WUh]cb�X»cd�fUhYifg�b»Ygh�dUg�Zcf!

cément un gage de moindre vulnérabilité (une

panne simultanée peut résulter du partage

X»]bZfUghfiWhifYg�YbhfY�cd�fUhYifg�X]ZZ�fYbhg �de l’usage du même matériel ou d’un même

Zcifb]ggYif�XY�`c[]W]Y`�" Il est recommandé de disposer de moyens de

télécommunication indépendants d’Internet

et des opérateurs publics (par satellite, par

radio, par messagerie unilatérale « paging »,

page suivante

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4


les fiches pratiques 8�Ã�b]f�`Yg�Yl][YbWYg�gif�`Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75 :=7<9�16page 3/3

dUf�h�`�d\cb]Y�Ã�lY�hfUX]h]cbbY``Y �Yb�ih]`]gUbh�lorsque cela est possible des moyens sécu-

f]g�g�[cijYfbYaYbhUil��U]bg]�eiY�XY�hYfa]!bUil�dcijUbh�ZcbWh]cbbYf�gUbg�U`]aYbhUh]cb��`YWhf]eiY�YlhYfbY�{�`»cf[Ub]gUh]cb��WcifUbh�gYWcifi�UjYW�[�b�fUhYif�]bhYfbY �ZcbWh]cbbY!ment sur batterie).

Il convient d’utiliser ces moyens de télécommu-

b]WUh]cb�f�[i`]�fYaYbh�Yb�g]hiUh]cb�bcfaU`Y �pour pouvoir les utiliser aisément en situation

YlWYdh]cbbY``Y"

@U�Ã�W\Y�B�%+�X�Wf]h�dìg�Yb�X�hU]`�`Yg�a�WU!nismes de relations avec les partenaires

�dfYghUhU]fYg �Zcifb]ggYifg �gcig�hfU]hUbhg�"�=`�Ygh�WcbgY]``��XY�gY�fYdcfhYf�{�WYhhY�Ã�W\Y�dcif�dìg�X»]bZcfaUh]cbg�WcbWYfbUbh�`Yg�VcbbYg�pratiques avec les partenaires.

exigences pour les processus et l’organisation@»cV^YWh]Z�Ã�bU`��hUbh�XY�aU]bhYb]f�XYg�Udd`]!cations « métier » critiques, les processus

critiques correspondants doivent avoir été

]XYbh]Ã��g �UjYW�̀ Yg�gcìh]cbg�dYfaYhhUbh�X»Ug!gifYf�`Yif�Wcbh]bi]h��Yh�fYgdYWhYf�`»cV^YWh]Z�de DMIA :

=XYbh]Ã�Yf�`Yg�gcìh]cbg�XY�WcbhcifbYaYbh�dUf�X»UihfYg�dfcWYggig��dUf�YlYad`Y�bY�ZU]!gUbh�dUg�UddY`�Uil�gmgh�aYg�X»]bZcfaUh]cb��UÃ�b�XY�hYb]f�`»cV^YWh]Z�XY�Xif�Y�aUl]aU`Y�d’interruption acceptable, avant de disposer

d’une solution de contournement (DMIA).

7YhhY�gcìh]cb�dU``]Uh]jY�df�W�XY�̀ Y�ZcbWh]cb!nement en mode secours.

B�Ubac]bg�]`�Ygh�XY�dìg�Yb�dìg�X]ZÃ�W]`Y�XY�ZcbWh]cbbYf�gUbg�Ù�fYggcifWY�]bZcfaU!tique (les données ne sont généralement

dìg�X]gdcb]V`Yg�gcig�ZcfaY�dUd]Yf�"�=`�ZUih�XcbW�cf[Ub]gYf�Ù�X]gdcb]V]`]h��XY�`»UWW�g�{�ib�g]hY�X]ghUbh�X]gdcgUbh�XYg�]bZcfaUh]cbg��a�h]Yf�®�YggYbh]Y``Yg �dcif�ZUW]`]hYf�̀ U�Wcbh]!nuité d’activité.

Les priorités de reprise des processus doi-

jYbh��hfY�X�Ã�b]Yg �U]bg]�eiY�̀ Yg�WcbX]h]cbg�ei]�dYfaYhhYbh�Ù�fYdf]gY�XUbg�`»cfXfY�df�X�Ã�b]"

Par ailleurs, l’organisation doit disposer de

la capacité à revoir et adapter les processus

Yb�ZcbWh]cb�XY�`»�jcìh]cb�XY�Ù�g]hiUh]cb"9bÃ�b�`Yg�dfcWYggig�gd�W]Ã�eiYg�XY�a]gY�Yb�

µijfY�Xi�D75�XYjfcbh��hfY�X�Ã�b]g�Yh�]bh�[f�g�dans les processus de l’organisation.

exigences pour les ressources intellectuelles =`�g»U[]h�X»Yl][YbWYg�fYÙh]jYg�Ui�aU]bh]Yb�XY�la disponibilité des ressources intellectuelles

tenant compte de scénarios d’attaques écono-

miques notamment par intrusion dans les sys-

h�aYg�X»]bZcfaUh]cb��pour plus de précisions

{�WY�gi^Yh �]`�Ygh�fYWcaaUbX��XY�Wcbgi`hYf�`Y�Guide de l’intelligence économique dont les

f�Z�fYbWYg�Ã�[ifYbh�Yb�UbbYlY).

exigences pour les infrastructures=`�g»U[]h�XYg�aYgifYg�ei]�dYfaYhhYbh�Uil�g]hYg�Wf]h]eiYg�XY�ZcbWh]cbbYf�Yb�acXY�X�[fUX� �ainsi que les solutions permettant de basculer

rapidement l’activité concernée vers des sites

de replis :

Installer les équipements techniques des

g]hYg�Wf]h]eiYg�XUbg�XYg�ncbYg�a]Yil�dfch�!gées (éviter les sous-sols inondables pour les

�ei]dYaYbhg�]bZcfaUh]eiYg �̀ Yg�[fcidYg��`YW!hfc[�bYg�ci�̀ Yg�f�dUfh]hYifg�{�VUggY�hYbg]cb).

Assurer une redondance de sites critiques,

bchUaaYbh�XYg��ei]dYaYbhg�]bZcfaUh]eiYg �par des procédures de duplication adaptées

Uil�cV^YWh]Zg�XY�Wcbh]bi]h� �Yh�ibY�X]ghUbWY�d\m!sique évitant de subir les mêmes dommages.

Assurer le dimensionnement du site de

gYWcifg�Yb�ZcbWh]cb�XYg�UWh]j]h�g�î[�Yg�Wf]!tiques qui pourront y être localisées.

=XYbh]Ã�Yf�XYg�gcìh]cbg�XY�fYd`]g��WUdUW]h��X»UWWiY]` �WcadUh]V]`]h��hYW\b]eiY �ZUW]`]h��X»UWW�g �aUh�f]Y`�XY�hfUjU]` �fYggcifWYg�]bZcf!aUh]eiYg �X]gdcg]h]Z�X»UWh]jUh]cb �YhW"�" Pré-équiper les solutions de replis avec des

X]gdcg]h]Zg�X»UWh]jUh]cb�dYfaYhhUbh�`Y�ZcbW!tionnement des activités relocalisées dans les

X�Ù]g�dfYgWf]g�.�X�Ù]�aUl]aU`�XY�fYdf]gY�df�ji�dcif�ZcbWh]cbbYf�Yb�acXY�gYWcifg��8AFD�"

exigences pour les prestataires externes et les partenaires7cadhY�hYbi�XY�gcb�]adcfhUbWY �WY�gi^Yh�Ygh�X�hU]``��XUbg�Ù�Ã�W\Y�gi]jUbhY"

exigences pour le fonctionnement en mode dégradéGY�fYdcfhYf�{�Ù�Ã�W\Y�B�%)"




les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�®

page 1/4

page suivante

le terme « partenaires » recouvre dans un premier temps tous les organismes externes qui apportent des services dont dépend le bon

ZcbWh]cbbYaYbh�XY�`»cf[Ub]gUh]cb"�7Y�gcbh�notamment :

Les sous-traitants ei]�YZZYWhiYbh�XYg�dfYghU!tions de support à la demande, pour le compte

Xi�aU�hfY�X»cijfU[Y��dUf�YlYad`Y�XYg�h|W\Yg�XY�aU]bhYbUbWY �XY�ZcfaUh]cb �X»\�VYf[Y!aYbh �XY�gifjY]`ÙbWY�ci�XY�hfUjUil �dcijUbh�U``Yf�̂ igei»{�̀ U�f�U`]gUh]cb�XY�h|W\Yg�hciW\Ubh�directement le cœur de métier de l’organisa-

tion, avec des responsabilités pouvant aller

îgei»{�̀ U�X�`�[Uh]cb�XY�aU�hf]gY�X»cijfU[Y�"� @Yg�dfYghUhU]fYg�XY�gYfj]WYg�YlhYfbYg��YUi �

�bYf[]Y �h�`�Wca �Ä�i]XYg�]bXighf]Y`g��Xcbh�̀ U�Zcifb]hifY�Ygh�YggYbh]Y``Y�Ui�Vcb�ZcbWh]cbbY!ment de l’organisation.

Les fournisseurs�XY�aUh]�fY�dfYa]�fY �Yb�amont d’une chaîne logistique qui regroupe

`»YbgYaV`Y�XYg�Ä�il�XY�aUh]�fYg �X»]bZcfaU!tions et de ressources qui sont activés pour

répondre à une demande de client.

Les gestionnaires� X»UWh]j]h�g� YlhYfbYg�b�WYggU]fYg�Ui�Vcb�ZcbWh]cbbYaYbh�XY�`»Yb!j]fcbbYaYbh�XY�`»cf[Ub]gUh]cb��dUf�YlYad`Y�Ù�Zcifb]hifY�XY�hfUbgdcfh�Wc``YWh]Z�dcif�`Y�personnel et le transport de marchandises,

de colis et de courrier).

7Yg�dUfhYbU]fYg�dYijYbh��hfY�eiU`]Ã��g�XY�Wf]!tiques s’ils sont indispensables pour assurer la sécurité des activités essentielles de l’or-ganisation et des processus critiques qui les sous-tendent. @U�Wf]h]W]h��Ygh�X»UihUbh�dìg�ZcfhY�eiY�̀ Yg�acmYbg�XY�giVgh]hih]cb�gcbh�X]ZÃ�W]`Yg�à trouver, notamment dans les cas suivants :

Importance du poids du partenaire dans la

jU`Yif�U^cih�Y�XY�`»cf[Ub]gUh]cb"

FUfYh��XY�Ù�aUh]�fY�dfYa]�fY�Zcifb]Y" Ib]W]h��Xi�Zcifb]ggYif�XUbg�ib�XcaU]bY�

d’activité.

5VgYbWY�X»UihfYg�Zcifb]ggYifg�UmUbh�̀ U�a�aY�qualité de service.

:cbWh]cbbYaYbh�gUbg�ghcW_"

Dans de telles situations, la coopération s’im-

pose et peut se matérialiser dans les termes

du contrat qui lie le partenaire à l’organisation

W`]YbhY"�9b�YZZYh �XUbg�gcb�UbU`mgY�XY�f]geiY�l’organisation doit prendre en compte les

risques provenant de ses partenaires, les

évaluer et s’assurer que des solutions de trai-

hYaYbh�cbh��h��X�Ã�b]Yg"�7YÙ�giddcgY�eiY�l’organisation dispose d’une connaissance

giZÃ�gUbhY�XYg�f]geiYg��cWWiffYbWY�Yh�]adUWhg��de ses partenaires et des solutions mises en

œuvre pour les limiter. Dans le prolongement

de ce travail et pour ce qui concerne la conti-

nuité d’activité, l’organisation doit connaître

`Yg�X]gdcg]h]Zg�df�jig�dUf�gcb�dUfhYbU]fY �Ù�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb�X»UWh]j]h��UWWYdhUV`Y�ei]�̀ i]�Ygh�[UfUbh]Y �̀ Yg�X]gdcg]h]Zg�dYfaYhhUbh�XY�Zcifb]f�ib�gYfj]WY�a]b]aia�Yh�`Yg�acXU`]h�g�XY�WY�ZcbWh]cbbYaYbh�Yb�mode dégradé, ainsi que l’organisation et les

procédures de gestion de crise.

Les termes du contrat vont donc au-delà de

Ù�g]ad`Y�ZcfaiÙh]cb�X»cV^YWh]Zg�UjYW�d�bU!lités, car ils doivent permettre à l’organisa-

tion d’intégrer les risques et les mesures de

sécurité et de continuité d’activité de son

(ses) partenaire(s).

Pour les organisations qui assurent des

prestations de prises de commande et

`]jfU]gcb�Yh�ei]�Wcbhf�`Ybh�hcih�ci�dUfh]Y�

objectif

@Yg��dUfhYbU]fYg�®�fYWcijfYbh�XY�bcaVfYil�hmdYg�XY�ghfiWhifYg�Yb�fYÙh]cb�UjYW�`»cf[Ub]gUh]cb"�@U�Wcadf�\Ybg]cb�XY�`Yifg�ZcbWh]cbbYaYbhg�Ygh�YggYbh]Y``Y�{�Ù�gestion de risque et à la continuité d’activité de l’organisation.

:=7<9�17

déFinir les eXigencesvis-À-vis des « partenaires »


9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�® :=7<9�17page 2/4


d’une chaîne logistique il est recommandé

XY�dfYbXfY�WcbbU]ggUbWY�XY�Ù�gd�W]Ã�WUh]cb�=GC#D5G#&,$$%�ei]�X�Ã�b]h�`Yg�df]bW]dYg�XY�gestion de la sûreté de la chaîne logistique.

7YhhY�gd�W]Ã�WUh]cb�]bg]ghY�gif�̀ U�WÙf]Ã�WUh]cb�YbhfY�̀ Yg��`�aYbhg�eiY�̀ »cf[Ub]gUh]cb�Wcbhf�`Y�Yh�WYil�ei]�gcbh�gcig�`Y�d]`chU[Y�X»ib�dUfhY!naire. Il est alors recommandé de demander

ib�UiX]h�ci�ibY�jU`]XUh]cb�XY�Ù�WcbZcfa]h��Xi�dUfhYbU]fY�{�WYhhY�gd�W]Ã�WUh]cb.

plus généralement, plusieurs approches peuvent être utilisées par l’organisation vis-à-vis d’un partenaire : Demander au partenaire une déclaration de

WcbZcfa]h��{�XYg�bcfaYg�XY�[Ygh]cb�Xi�f]geiY�et de continuité d’activité et l’autorisation

de procéder à des revues17 des processus et

XYg�]bghU`Ùh]cbg �dcif�j�f]Ã�Yf�̀ U�jU`]X]h��XYg�X�WÙfUh]cbg �WYW]�UjYW�ibY�Zf�eiYbWY�X�hYf!a]b�Y�Yb�ZcbWh]cb�Xi�b]jYUi�XY�f]geiY" 8YaUbXYf�ib�WYfh]Ã�WUh�ci�ibY�jU`]XUh]cb�cZÃ�!

W]Y``Y�XY�WcbZcfa]h��dUf�fUddcfh�Uil�bcfaYg�XY�gestion du risque et de continuité d’activité.

8YaUbXYf�ibY�WcbÃ�faUh]cb�XY�WcbZcfa]h��avec des normes de gestion du risque et de

Wcbh]bi]h��X»UWh]j]h� �Uggcfh]Y�X»ibY�j�f]Ã�WU!h]cb�XY�WYhhY�WcbZcfa]h��dUf�ibY�h]YfWY�dUfh]Y�XY�WcbÃ�UbWY" Ci�]bghUifYf�ibY�X�aUfW\Y�Wccd�fUh]jY �dUf�

l’élaboration commune de la stratégie de PCA

Yh�XYg�X]gdcg]h]Zg�Yh�dfcW�XifYg�UggcW]�g �Yh�la recherche en commun d’améliorations

continues.

Ces approches peuvent cependant susci-

hYf�XYg�f�gYfjYg�WcbWYfbUbh�`»UWW�g�{�XYg�]bZcfaUh]cbg�gYbg]V`Yg �bchUaaYbh�XUbg�ib�environnement concurrentiel ou quand les

]bZcfaUh]cbg�gcbh�WÙgg]Ã��Yg"�@»cf[Ub]gUh]cb�dYih�U`cfg�g»UVghYb]f�XY�XYaUbXYf�WYg�]bZcf!mations à son partenaire, si celui-ci est

WYfh]Ã��dUf�ib�cf[Ub]gaY�h]Yfg�XY�WcbÃ�UbWY �accrédité par un organisme compétant, ou

%+�#�7YW]�dYih��hfY�ZUW]`]h��dUf�`»UWW�g�Uil�gmgh�aYg�X»]bZcfaUh]cbg�.�hfU�UV]`]h��XYg�]bW]XYbhg �[Ygh]cb��j�bYaYbh]Y``Y �hUV`YUi�XY�VcfX�gif�internet, outils de suivis des actions.

%,�#�DUf�YlYad`Y �Yb�Udd`]WUh]cb�XYg�WcbjYbh]cbg�]bhYfbUh]cbU`Yg�XciUb]�fYg �`Y�ghUhih�X»cd�fUhYif��Wcbca]eiY�U[f��C95� �ei]�dYfaYh�XY�X]gh]b[iYf�`Yg�cd�fUhYifg�WcaaibUihU]fYg�`Yg�dìg�Ã�UV`Yg �XUbg�ibY�`c[]eiY�XY�ÙVY``]gUh]cb�eiU`]h��f�[`YaYbh�b�%,+)#&$$*�Xi�%,�X�WYaVfY�&$$*�"

page suivante

jU`]X��dUf�ib�X]gdcg]h]Z�[cijYfbYaYbhU`18.

Ces procédures peuvent en outre générer un

net avantage commercial pour les entreprises

concernées.

Il est par conséquent recommandé que l’or-

ganisation associe ses partenaires à l’élabo-

ration de son PCA, en couvrant notamment

les domaines suivants :

Formation commune.

DUfhU[Y�X»YldYfh]gY" Études de vulnérabilités.

Analyses de risques.

Formalisation des engagements de conti-

nuité (DMIA).

8]gdcg]h]Zg�XY�Wcbh]bi]h�" Mutualisation de moyens.

Travail sur les processus transverses.

Fonctionnement en mode dégradé.

7cbXi]hY�WcaaibY�XY�dfc^Yh" 9lYfW]WYg�Wcaaibg"

La démarche habituelle pour limiter le risque fournisseur consiste à multiplier les fournis-seurs, mais cette démarche se heurte à deux X]ZÃ�Wi`h�g�. 9``Y�[�b�fY�ib�gifWc�h �dUf�ibY�dYfhY�X»�Wc!

nomie d’échelle.

@Yg�Zcifb]ggYifg�X]ZZ�fYbhg�dYijYbh�df�gYb!ter les mêmes risques.

il est par conséquent souhaitable de : 8fYggYf�Ù�`]ghY�XYg�df]bW]dUil�WcbhfUhg�

détaillant ce qui est garanti en cas de sinistre.

GYbg]V]`]gYf�`Yg�Zcifb]ggYifg�Ui�VYgc]b�XY�conduire une analyse de risque et de disposer

d’un plan de continuité d’activité.

8YaUbXYf�ibY�WYfh]Ã�WUh]cb�XY�WcbZcfa]h��{�Ù�bcfaY�=GC�&&'$%" Conduire une analyse de risques en liaison

UjYW�̀ Yg�Zcifb]ggYifg �Yh�Yb�X�Xi]fY�̀ Y�b]jYUi�X»Yl][YbWY�XY�Wcbh]bi]h��{�XYaUbXYf�Uil�Zcifb]ggYifg �ei]�gc]h�WcadUh]V`Y�UjYW�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��XY�`»cf[Ub]gUh]cb"



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�®

page 3/4

:=7<9�17

Contractualiser le niveau du service

demandé comprenant des engagements

de qualité de service, de disponibilité, de

Garantie de Temps de Rétablissement (GTR)

ci�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb�UWWYdhUV`Y�(DMIA).

7cbhfUWhiU`]gYf��jYbhiY``YaYbh�̀ »Yl]ghYbWY�de moyens d’intervention ou de secours

dYfaYhhUbh�XY�dcijc]f�ZcbWh]cbbYf�Yb�acXY�dégradé ou limitant l’interruption d’activité à

ib�gYi]`�df�X�Ã�b]��dUf�YlYad`Y�Zcifb]hifY�XY�[fcidY��`YWhfc[�bY�UjYW�ib�Xfc]h�df]cf]hU]fY�" Disposer d’une capacité d’appréciation de

l’analyse de risque, des vulnérabilités et du

dÙb�XY�Wcbh]bi]h��X»UWh]j]h��Xi�Zcifb]ggYif" 5jc]f�UWW�g�Uil�f�gi`hUhg�XYg�UiX]hg�XY�Ù�

[Ygh]cb�XYg�f]geiYg�Yh�Xi�D75�Xi�Zcifb]ggYif" Préciser les responsabilités.

vhiX]Yf�`Yg�]ad`]WUh]cbg�XYg�WUg�XY�ZcfWY�aU^YifY" 9bj]gU[Yf�Ù�dcgg]V]`]h��X»]bhYfbU`]gYf�WYf!

hU]bYg�ZcbWh]cbg" 8�Ã�b]f�XYg�dfcWYggig�UXa]b]ghfUh]Zg�X»UWei]!

g]h]cb�YlWYdh]cbbY`g �Yb�WUg�XY�X�dUggYaYbh�XYg�Uihcf]gUh]cbg�XY�dÙZcbX�igiY``Yg �XUbg�XYg�g]hiUh]cbg�XY�hf�g�[fUjYg�X�[|hg�giV]g"

une attention particulière devra être apportée aux interdépendances entre enti-tés et notamment aux effets en cascade. la démarche suivante est proposée en ce sens :

1. la première étape�Wcbg]ghY�{�]XYbh]Ã�Yf�les liens en chaîne entre les organisations,

Selon la nature de ces liens :- géographique (co-localisation et donc

dépendance des parties communes, ou

dfcl]a]h��Wf�Ubh�ibY�ji`b�fUV]`]h��Uil�WUhUghfcd\Yg�jc]g]bYg�.�Yld`cg]cbg �]bWYb!X]Yg �hcl]W]h��XY�`»Uhacgd\�fY �YhW"�

- logique, avec dépendance directe

�Zcifb]ggYif� XY� dfcXi]hg� ci� gYfj]WY �UmUbh�ib� f�`Y�YggYbh]Y`�XUbg� Ù�W\U�bY�d’approvisionnement),

- Logique, avec dépendance indirecte

(moyens de transport publics, état des

routes),

- ZcbWh]cbbY`��WYfhU]bg�hfU]hYaYbhg�X�dYb!dent de prestations assurées par des

sous-traitants).

Résultant d’une vulnérabilité partagée entre

organisations sans lien entre elles :

- utilisation d’un même matériel ou logiciel

critique,

- ih]`]gUh]cb�X»ib�a�aY�Zcifb]ggYif�XY�gYfj]WY�(c’est typiquement le cas d’organisations

X]ZZ�fYbhYg�UmUbh�gcig!hfU]h��`»\�VYf[YaYbh�XY��`Yifg�WYbhfYg�]bZcfaUh]eiYg�{�ibY�a�aY�société).

Consécutifs à une catastrophe touchant une

jUghY�ncbY�[�c[fUd\]eiY�Yh�dUf�Wcbg�eiYbh�UZZYWhUbh�X]fYWhYaYbh�XYg�cf[Ub]gUh]cbg�]bX�!dYbXUbhYg�gY�hfcijUbh�XUbg�WYhhY�ncbY�ci �gUbg�ei»Y``Yg�gc]Ybh�X]fYWhYaYbh�UZZYWh�Yg �giV]g!sant les contrecoups d’autres organisations

X]fYWhYaYbh�UZZYWh�Yg�UjYW�`YgeiY``Yg�Y``Yg�cbh�XY�ZcfhYg�]bhYfX�dYbXUbWYg�.- crise sanitaire contagieuse grave,

- catastrophe naturelle.

2. la deuxième étape consiste à analyser les

menaces, les vulnérabilités, les impacts et la

propagation de ces impacts le long de la chaîne

des interdépendances.

=`�Ygh�U`cfg�dcgg]V`Y�XY�ZcfaU`]gYf�. @Yg�Yl][YbWYg�YbhfY�dUfhYbU]fYg�`]�g�dUf�

WcbhfUhg��WZ"�`Y�WUg�XYg�dUfhYbU]fYg�YlhYfbYg �vu au paragraphe précédent).

@Yg�gd�W]Ã�WUh]cbg�XY�WYfhU]bYg�]bghU`Ùh]cbg�ci�ZcbWh]cbg�Xcbh�̀ U�[Ygh]cb�Ygh�dUfhU[�Y �Yh�ei]�XYjfcbh�fYgdYWhYf�XYg�Yl][YbWYg�XY�Wcbh]bi]h��d’activité,

Les modalités de coordination durant une

crise (partage des renseignements de veille,

XYg�]bZcfaUh]cbg�gif�̀ Y�g]b]ghfY �a]gY�Yb�f�gYUi�des responsables de PCA, constitution de dis-

dcg]h]Zg�X»Ugg]ghUbWY�Yh�X»U]XY�Uil�X�W]g]cbg �partage de l’analyse de situation).

La mutualisation possible de certaines res-

gcifWYg�dYfaYhhUbh�XY�ZUW]`]hYf�̀ U�Wcaaib]WU!tion, l’intervention ou la continuité d’activité,

gcig�f�gYfjY�XY�f�[`Yg�XY�df]cf]h��X»UWW�g" @Yg�acXU`]h�g�XY�WccfX]bUh]cb�Udf�g�̀ U�d\UgY�

d’urgence, quand il s’agit de reprendre les acti-

vités économiques, de prioriser collectivement

`»YbW\U�bYaYbh�XYg��hUdYg�dcif�Ua�`]cfYf�̀ »YZ!Ã�WUW]h��XYg�YZZcfhg�Yh�̀ U�fUd]X]h��XY�̀ U�fYdf]gY" Le cas particulier de la chaîne logistique

Xc]h�ZU]fY�`»cV^Yh�XY�Ù�dìg�[fUbXY�UhhYbh]cb�WUf�Y``Y�]bWìh�`Y�d]`chU[Y�XYg�Ä�il�Xi�Zcif!

page suivante


9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�® :=7<9�17page 4/4


b]ggYif�{�`»ih]`]gUhYif�Ã�bU`�dcif�UhhY]bXfY�`»cV^YWh]Z�gci\U]h��dUf�̀ »cf[Ub]gUh]cb"�@U�ZcbW!tion de gestion de la chaîne logistique doit

bchUaaYbh�UggifYf�̀ Y�̀ ]Yb�UjYW�̀ Yg�ZcbWh]cbg�« achats », « relations clients » et « gestion

de la vie des produits », tout en assurant les

acmYbg�dcif�Ù��ZUVf]WUh]cb�®�Yh�Ù��aU]b!hYbUbWY#f�dUfUh]cb�®"�@Yg�YZZYhg�X»ibY�dYfhY�de ressource critique peuvent donc aisément

se propager le long de la chaîne logistique,

g]�`Yg�X]gdcg]h]Zg�X�Wf]hg�dìg�\Uih�bY�gcbh�pas mis en œuvre.

9bÃ�b �̀ Yg��dUfhYbU]fYg�®�fYWcijfYbh��[U`Y!ment les organismes externes qui reçoivent, en aval, des services ou des produits de l’or-ganisation.�@»cf[Ub]gUh]cb�Xc]h�Yb�YZZYh�gY�préoccuper des conséquences que pourrait

Ujc]f�ib�XmgZcbWh]cbbYaYbh�ci�ib�Uff�h�XY�

son activité sur son environnement direct ou

indirect. C’est notamment le cas des opéra-

teurs désignés « d’importance vitale » parce

eiY�`Yif�Vcb�ZcbWh]cbbYaYbh�Ygh�YggYbh]Y`�pour celui de la société (la sécurité ou la

capacité de survie de la Nation, son potentiel

de guerre ou économique, la santé ou la vie

de la population)%-.

L’analyse de risque ne doit donc pas se limi-

hYf�Uil�f]geiYg�dcif�̀ »cf[Ub]gUh]cb �aU]g�Xc]h�inclure les risques pour son environnement,

ses partenaires situés en aval ou ses clients.

Le plan de continuité doit ainsi prendre en

compte les conséquences en aval, qui sont en

XY\cfg�Xi�d�f]a�hfY�ghf]Wh�XY�̀ »cf[Ub]gUh]cb �mais dont les besoins de continuité peuvent

�hfY�hf�g�Zcfhg"�Ib�hY`�hfUjU]`�dYih�b�WYgg]hYf�une collaboration avec les services de l’État,

gardiens de l’intérêt général.

19 /article r. 1332-1 du code de la défense.



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Les relations avec les services de l’État

page 1/2

page suivante

le rôle de l’état, qui doit être intégré dans les pca des entreprises, résulte de sa fonction de gardien de l’intérêt national.�=`�g»U[]h�X»ib�f�`Y�essentiel lors de grandes crises dépassant

WY�ei»ibY�cf[Ub]gUh]cb�dYih�UZZfcbhYf�gYi`Y"�9b�YZZYh �ZUWY�Uil�g]hiUh]cbg�XY�W\Ucg�`Y�f�`Y�de l’État consiste notamment à apprécier les

df]cf]h�g�XUbg�`»]bh�f�h�[�b�fU` �X�Ã�b]f�XYg�stratégies collectives de réponse, donner du

gYbg�{�̀ »UWh]cb �Yb[U[Yf�XYg�acmYbg�bUh]cbUil�Yh�Wcaaib]eiYf�Uidf�g�XY�Ù�dcdiÙh]cb�gif�une large échelle.

Le dialogue entre les services de l’État et les

organisations est animé dans les territoires sous

`»Uihcf]h��XYg�df�ZYhg"�=`�Ygh�YggYbh]Y`�dcif�Uggi!rer une bonne préparation et gérer correctement

un plan de continuité d’activité. Cette démarche

doit être proactive, c’est-à-dire qu’une organisa-

h]cb�bY�Xc]h�dUg�UhhYbXfY�̀ U�Wf]gY�dcif�]XYbh]Ã�Yf�les services de l’État avec lesquels elle peut ou

doit communiquer et collaborer. Les actions de

préventions et protection, les mécanismes de

remontée d’incidents et d’alerte, la coordination

lors des interventions, la gestion des priorités,

`»UZZYWhUh]cb�XYg�fYggcifWYg �̀ U�Wcaaib]WUh]cb�Yh�̀ Y�ZcbWh]cbbYaYbh�Ui�a]Yil�Yb�acXY�X�[fUX��sont des domaines d’échanges nécessaires avec

l’État. La connaissance préalable des correspon-

dants et la compréhension de leurs missions

gcbh�dUf�Wcbg�eiYbh�ZcbXUaYbhU`Yg"

7caaY�hcihY�cf[Ub]gUh]cb �`»vhUh�Ygh�X�^{�Zcf!tement concerné par l’élaboration de PCA pour

assurer la continuité des missions régaliennes.

Il est également porteur d’une démarche de

PCA sociétal. Gardien de la continuité des acti-

j]h�g�YggYbh]Y``Yg�dcif�̀ Y�ZcbWh]cbbYaYbh�XY�̀ U�

Nation, il contribue à l’élaboration et à la mise

en place des PCA des organisations publiques

Yh�df]j�Yg �XY�dìg]Yifg�ZU�cbg"�@Yg�X]gdcg]h]Zg�Yh�XcaU]bYg�X»UWh]cb �̀ ]gh�g�W]!Udf�g�XY�aUb]�fY�bcb�Yl\Uigh]jY �gcbh�Xcbb�g�dcif�YlYad`Y�.

analyse, prévention et gestion des risques : Prescriptions légales et réglementaires pour

certains secteurs (bancaire, santé…) ou cer-

hU]bYg�UWh]j]h�g��hfUbgdcfh�Wc``YWh]Z �UWh]j]h�g�dangereuses pour la population, activités

X»]adcfhUbWY�j]hU`Y�dcif�`Y�ZcbWh]cbbYaYbh�de la Nation...).

7ccfX]bUh]cb�XYg�dfc[fUaaYg�bUh]cbUil�XY�R&D en technologies de sécurité.

G]hYg�X»]bZcfaUh]cb�bUh]cbUil�gif�̀ Yg�f]geiYg�(naturels, de nature terroriste, sécurité écono-

a]eiY �g�Wif]h��]bZcfaUh]eiY �YhW"�" G]hYg�X»]bZcfaUh]cb�XY�df�ZYWhifYg �UjYW�`Y�

schéma directeur départemental d’analyse et

XY�WcijYfhifY�XYg�f]geiYg��Yl�.�G857F�" Démarche nationale de résilience, plans de

df�jYbh]cb �dfchYWh]cb�Yh�]bhYfjYbh]cb��WZ"�dÙbg�bUh]cbUil �WUfhc[fUd\]Y�XYg�f]geiYg �YhW"�" Assistance des services de la direction centrale

du renseignement intérieur, de la gendarmerie

nationale ou de la direction de la protection et

XY�Ù�g�Wif]h��XY�Ù�X�ZYbgY�dcif�UbU`mgYf�`Yg�vulnérabilités et préconiser des mesures de

dfchYWh]cb��Jc]f�Ã�W\Y�%'�"

veille et information : GhfiWhifYg� Yh� X]gdcg]h]Zg� XY� jY]``Y� XYg�

a]b]gh�fYg" G]hYg� a]b]gh�f]Y`g� X»]bZcfaUh]cb� gif� `Yg�

f]geiYg�Yh�̀ Yg�Wf]gYg �Ugg]ghUbWY�Uil�jcmU[Yifg�à l’étranger…

Services de renseignement.

objectif

@»vhUh�UggifY�X]ZZ�fYbhYg�ZcbWh]cbg�ei]�cbh�ibY�dÙWY�hf�g�]adcfhUbhY�XUbg�`»UbU`mgY�de risque, la prévention, la protection, la préparation et la gestion de crise,

l’intervention et la mise en place de PCA. Il s’agit ici d’aider l’organisation à

]XYbh]Ã�Yf�WYg�ZcbWh]cbg"

:=7<9�18

les relations avec lesservices de l’état


A�WUb]gaYg�X»U`YfhY��X]gdcg]h]Zg�J][]d]fUhY �suivi des crues…).

Cf[Ub]gaYg�YlYf�Ubh�XYg�a]gg]cbg�XY�gYfj]WYg�publics (Météo France, IRSN…).

gestion de crise : Architecture nationale de gestion de crise

contribuant à la cohérence de l’action, du plus

\Uih�b]jYUi�XY�`»vhUh�îgeiY�XUbg�`Yg�hYff]!hc]fYg �Yb�̀ ]U]gcb�UjYW�̀ Yg�df�ZYhg�Uil�b]jYUil�ncbU`�Yh�X�dUfhYaYbhU` �UjYW�`Yg�Wc``YWh]j]!h�g�hYff]hcf]U`Yg�Yh�`Yg�df]bW]dUil�cd�fUhYifg�concernés.

Élaboration des stratégies de réponse, déclen-

chement des plans d’intervention, mobilisation

des parties prenantes, gestion des priorités,

Yb[U[YaYbh�XY�acmYbg�bUh]cbUil" 7caaib]WUh]cb�UjYW�̀ Y�diV`]W��]bZcfaYf �Wca!

muniquer les consignes comportementales…),.

Relations avec les pays étrangers et l’Union

européenne.

contribution directe au fonctionnement des plans de continuité : 5ddi]� a�h\cXc`c[]eiY� Yh� X]ZZig]cb� XY�

bonnes pratiques pour la continuité des

activités et la résilience nationale.

7ccfX]bUh]cb�XYg�UWhYifg�`cWUil�dUf�`Yg�df�ZYWhifYg" 7ccfX]bUh]cb�XYg�UWhYifg�bUh]cbUil�dUf�Ù�

cellule interministérielle de crise.

8�W]g]cbg�Yb�aUh]�fY�X»Uff�h�ci�XY�Wcbh]bi]h��d’activité20.

Actions de coordination, de mutualisation

et de gestion des priorités.

;Ygh]cb�̂ if]X]eiY�XYg�g]hiUh]cbg�YlWYdh]cb!bY``Yg �bchUaaYbh�̀ Y�ZcbWh]cbbYaYbh�Yb�acXY�dégradé.

Réquisitions et apport de ressources

YlWYdh]cbbY``Yg"

Les relations avec les services de l’État :=7<9�18page 2/2


20 /des différences d’appréciation rendent indispensable le dialogue entre l’état et les organismes concernés lorsqu’il s’agit d’interrompre

WYfhU]bYg�UWh]j]h�g�ci�WYfhU]bg�gYfj]WYg�UÃ�b�XY�`]a]hYf�ib�f]geiY�f�g]XiY`��dUfWY�eiY�WYÙ�f�dcbX�{�ib�VYgc]b�`cWU`�if[Ybh�ci�dUfWY�eiY�Ù�fYdf]gY�XY�`»UWh]j]h��]bhYffcadiY�Ygh�hfcd�cb�fYigY�dcif�`Yg�YbhfYdf]gYg�WcbWYfb�Yg�"�



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Le bilan coût/avantages d’un PCA. Comment arbitrer ?

page 1/2

page suivante

Plus l’indisponibilité est longue et plus le

niveau de service demandé est élevé, plus le

Wc�h�Xi�XmgZcbWh]cbbYaYbh�dcif�̀ »cf[Ub]gUh]cb�sera élevé (ce coût est à pondérer par l’appré-

ciation de la probabilité d’occurrence).

�5�WcbhfUf]c �dìg�`»cV^YWh]Z�XY�fYdf]gY�Ygh�loin et plus le niveau de service demandé est

ZU]V`Y��bchUaaYbh�eiUbX�ib�acXY�X�[fUX��est acceptable), plus le coût des solutions à

aYhhfY�Yb�µijfY�gYfU�ZU]V`Y"

le croisement de ces courbes, associé à l’ap-préciation du risque, permet de déterminer la ghfUh�[]Y�XY�g�Wif]h��Yh�XY�Ã�bU`]gYf�̀ Yg�cV^YWh]Zg�de sécurité.IbY�hY``Y�X�aUfW\Y�bY�dcgY�dUg�XY�dfcV`�aY�quand les coûts des moyens pour mettre en

dÙWY�ib�D75�gcbh�ZU]V`Yg�/�WUf�̀ Yg�gcìh]cbg�XY�Wcbh]bi]h��dciffcbh��hfY�ZUW]`YaYbh�jU`]X�Yg"�Par contre, si les dépenses sont importantes,

l’investissement ne sera généralement accepté

qu’en cas de menace imminente grave (mais

objectif

±�dUfh]f�XYg�hfUjUil�f�U`]g�g�df�W�XYaaYbh�]`�Ygh�dcgg]V`Y�XY�X�Ã�b]f�Ù�VcbbY�UX�eiUh]cb�YbhfY�`»cV^YWh]Z�XY�Wcbh]bi]h��`]��{�`»UhhYbhY�XY�Wcbh]bi]h��dfYbUbh�Yb�compte l’analyse de risque et les scénarios retenus) et la réponse proposée, qui

dYfaYh�XY�[UfUbh]f�eiY�`»cV^YWh]Z�XY�Wcbh]bi]h��dciffU��hfY�UhhY]bh�Yb�hYbUbh�WcadhY�Xi�hmdY�XY�g]b]ghfY�Yh�XY�Ù�fYggcifWY�Wf]h]eiY�UZZYWh�Y"

:=7<9�19

le bilan coÛt/avantagesd’un pca. coMMent arBitrer ?

Coût

C1

Coût du PCAC2

Coûtdes conséquencesde l’interruptionde l’activité

Ce schéma montre que les conséquences d’une interruption de l’activité ont un coût C1 qui correspond

{�Ù�8if�Y�AUl]aU`Y�X»=bhYffidh]cb�5WWYdhUV`Y��8A=5�"Mais, pour ne pas dépasser ce seuil, il y a un coût du PCA, qui augmente si la DMIA diminue.

8Ubg�̀ Y�gW\�aU�W]!XYggig�̀ Y�D75�U�ib�Wc�h�7& �ei]�Ygh�]bZ�f]Yif�Ui�Wc�h�XYg�Wcbg�eiYbWYg��jYbhiY``Yg"@U�WcadUfU]gcb�YbhfY�`Yg�Wc�hg�7%�Yh�7&�Xc]h�gY�ZU]fY�Yb�hYbUbh�WcadhY�XY�Ù�dfcVUV]`]h��XY�g]b]ghfY"�

bilan coÛt/avantage du maintien de l’activité

Coût des conséquences


il sera souvent trop tard) ou si la demande

est associée à une démarche de gestion du

risque qui permet de valider les scénarios,

XY�eiUbh]Ã�Yf�`Yif�dfcVUV]`]h��X»cWWiffYbWY�et d’optimiser les réponses possibles et la

stratégie de continuité.

Le risque peut valoir d’être assumé sans PCA,

si l’on prend des mesures de prévention et

de protection pour le limiter. La probabilité

de survenue d’un sinistre qui conduirait à

une interruption d’activité diminue d’autant.

Même dans le cas où le coût des conséquences

éventuelles reste élevé, le risque peut valoir

d’être assumé quand les avantages poten-

h]Y`g�gcbh�hf�g�]adcfhUbhg�Yb�fY[UfX�XYg�Wc�hg��X�WcijYfhY�XY�bcijYUil�aUfW\�g �XY�bci!jYUil�W`]Ybhg �Zcifb]hifY�XY�gYfj]WYg�UhhYbXig�par les citoyens, etc.). Dans ce cas il sera plus

X]ZÃ�W]`Y�XY�̂ igh]Ã�Yf�ib�D75�ei]�XYaUbXY�XYg�

investissements importants. Une démarche

UggifUbh]Y``Y�dYih�U`cfg��hfY�Ybj]gU[�Y"�9b�revanche, si l’occurrence du risque ne peut

pas être maîtrisée (catastrophe naturelle,

épidémie, etc.) et si les conséquences de

l’interruption de l’activité sont importantes,

]`�gYfU�dìg�ZUW]`Y�XY�̂ igh]Ã�Yf�̀ U�a]gY�Yb�dÙWY�d’un PCA, même si l’investissement demandé

est élevé.

9b�ZcbWh]cb�XYg�cV^YWh]Zg��Yh�cV`][Uh]cbg��XY�`»cf[Ub]gUh]cb�Yh�XY�`»Uddf�W]Uh]cb�XYg�X]ZZ�!rents coûts il est possible de revoir à la baisse

ci�{�Ù�\UiggY�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��dUf�YlYad`Y�Yb�UVU]ggUbh�ci�Yb�Ui[aYb!tant la valeur de la durée de l’interruption

X»UWh]j]h��aUl]aU`Y�UXa]gg]V`Y�"�7YÙ�U�XYg�conséquences directes sur le risque possible

et sur le coût du PCA.

Le bilan coût/avantages d’un PCA. Comment arbitrer ? :=7<9�19page 2/2


Coût

C1

Coût du PCAC2

Durée de l’interruption de l’activité

Coûtdes conséquencesde l’interruptionde l’activité

Ce schéma montre que les conséquences d’une interruption de l’activité ont un coût C1 qui correspond

{�Ù�8if�Y�AUl]aU`Y�X»=bhYffidh]cb�5WWYdhUV`Y��8A=5�"Mais, pour ne pas dépasser ce seuil, il y a un coût du PCA, qui augmente si la DMIA diminue.

8Ubg�̀ Y�gW\�aU�W]!XYggig�̀ Y�D75�U�ib�Wc�h�7& �ei]�Ygh�]bZ�f]Yif�Ui�Wc�h�XYg�Wcbg�eiYbWYg��jYbhiY``Yg"@U�WcadUfU]gcb�YbhfY�`Yg�Wc�hg�7%�Yh�7&�Xc]h�gY�ZU]fY�Yb�hYbUbh�WcadhY�XY�Ù�dfcVUV]`]h��XY�g]b]ghfY"�

Finalisation de la stratégie de continuité

Coût des conséquences

Coût du PCApour assurer le maintien de l’activité(qui croît en fonctiondu niveau d’exigence)

8A=5�ZU]V`Y DMIA élevé

DMIA : Seuil à

ne pas dépasser


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

8�Ã�b]f�Ù�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�

À ce stade les quatre étapes précédentes du processus d’élaboration du pca sont validées : Étape 1 :�WcbbU]ggUbWY�Xi�WcbhYlhY �XYg�cV^YW!

h]Zg�Yh�WcbhfU]bhYg�XY�̀ »cf[Ub]gUh]cb �XYg�UWh]j]h�g�essentielles et processus clés.

Étape 2 : connaissance des besoins de conti-

nuité des activités essentielles et processus

associés, ainsi que des coûts de l’interruption

d’activité.

Étape 3 : ]XYbh]Ã�WUh]cb�XYg�f]geiYg �dfcVUV]!lité d’occurrence et impacts, et des priorités

XY�hfU]hYaYbh�/��hUV`]ggYaYbh�XYg�gW�bUf]cg�{�prendre en compte dans le PCA.

Étape 4 :�]XYbh]Ã�WUh]cb�XYg�aYgifYg�Yh�jU`c!risation des coûts du PCA et arbitrage entre

coût du PCA et coût de l’interruption d’activité.

@»cdh]aia�hY`�eiY�X�Wf]h�XUbg�Ù�Ã�W\Y�df�W�!dente permet, après validation par la direction, XY�Ã�lYf�dcif�W\UeiY�UWh]j]h��YggYbh]Y``Y�Yh�dcif�W\UeiY�dfcWYggig#Ä�il�Wf]h]eiY�`Yg�cV^YWh]Zg�de continuité et les actions à entreprendre en cas de sinistre pour assurer le maintien de ces objectifs.

Des objectifs sont également fixés pour le fonctionnement en mode dégradé s’il n’est pas possible de maintenir la continuité normale et quand la reprise d’activité se fait par étapes.

recommandations : @Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Xc]jYbh��hfY�Wc\�!

rents avec la stratégie de l’organisation.

Ils doivent tenir compte de la capacité à dis-

poser des ressources nécessaires.

Ils doivent être mesurables et surveillés.

Pour leur élaboration il est recommandé

de valoriser les pertes engendrées par les

incidents craints.

Il est recommandé de mener une analyse

cddcgUbh�`Y�Wc�h�XYg�aYgifYg�Xi�D75�Uil�Wc�hg�XYg�f]geiYg�]XYbh]Z]�g"

élaboration de la stratégie :À partir des prérequis rappelés précédem-

ment, la stratégie de continuité d’activité

dYih��hfY�X�W`]b�Y"�9``Y�jU�dYfaYhhfY�XY�Zcf!aU`]gYf�`Yg�a�WUb]gaYg�XY�ZcbWh]cbbYaYbh�en modes dégradés et de reprise technique,

X»]XYbh]Z]Yf�Ui�df�UÙV`Y�`Yg�df]cf]h�g �XY�X�Z]b]f�`Y�b]jYUi�XY�gYfj]WY�{�fYghUifYf�Yh�les délais associés. Les mesures à mettre en

œuvre et les procédures associées doivent

rester simples. La stratégie de continuité

jU��[U`YaYbh�dYfaYhhfY�̀ »]XYbh]Z]WUh]cb�df�!alable de l’ordre de priorité de reprise et

XY�VUgWi`YaYbh�dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil��g]hY�]bZcfaUh]eiY �V|h]aYbh �YhW"�"�=`�Ygh�]adcfhUbh�XY�ZU]fY�WY�WÙggYaYbh�dUf�priorité avant la survenue du sinistre,

UZ]b�XY�df�jc]f �`Y�acaYbh�jYbi �`»]XYbh]!Z]WUh]cb�fUd]XY�XYg�fYggcifWYg�ei]�gYfcbh�nécessaires.

@»YlYad`Y�]`ìghf��XUbg�Ù�Z]W\Y�%)�WcbWYfbY�Ù�fYdf]gY�X»UWh]j]h��Udf�g�ib�g]b]ghfY �UjYW�une reprise en mode dégradé, par une solu-

h]cb�XY�WcbhcifbYaYbh�di]g�ib�ZcbWh]cbbY!aYbh�Yb�acXY�gYWcifg �UjYW�XYil�dU`]Yfg�giWWYgg]Zg �UjUbh�fYhcif�{�Ù�bcfaU`Y"�

objectif

@U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h��dYfaYh�XY�ZcfaU`]gYf�`Yg�a�WUb]gaYg�XY�ZcbWh]cbbYaYbh�Yb�acXYg�X�[fUX�g�Yh�XY�fYdf]gY�hYW\b]eiY �X»]XYbh]Ã�Yf�Ui�df�UÙV`Y�`Yg�df]cf]h�g �XY�X�Ã�b]f�`Y�b]jYUi�XY�gYfj]WY�{�fYghUifYf�Yh�`Yg�X�Ù]g�UggcW]�g"�9``Y�dYfaYh��[U`YaYbh�`»]XYbh]Ã�WUh]cb�df�UÙV`Y�XY�`»cfXfY�XY�df]cf]h��XY�fYdf]gY�Yh�XY�VUgWi`YaYbh�dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil"

:=7<9�20

déFinir la stratégiede continuité d’activité



les fiches pratiques 8�Ã�b]f�Ù�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�

Un cahier des charges doit être transmis à

chaque responsable de ressource critique pour

X�Ã�b]f�WY�ei]�Ygh�UhhYbXi��X]gdcb]V]`]h��XY�WYf!tains composants, délais de mise en œuvre,

df]gY�Yb�WcadhY�XYg�UgdYWhg�îf]X]eiYg �YhW"�"�Ces responsables devront transmettre en retour

leurs réponses concernant les modalités de mise

Yb�µijfY��X�Ù]g �VYgc]bg�Ã�bUbW]Yfg �YhW"��ei]�seront ensuite consolidés pour validation par

Ù�X]fYWh]cb"�=`�ZUiXfU��[U`YaYbh�]XYbh]Ã�Yf�WY�qui est attendu des responsables de métiers et de processus qui devront :

Décliner les actions, outils et procédures du PCA.

Intégrer des procédures du PCA dans leurs

propres processus.

Élaborer la documentation pour chaque procé-

dure (conditions de déclenchement, ressources

b�WYggU]fYg �YZZYhg�UhhYbXig �YhW"�" F�U`]gYf�XYg�Ã�W\Yg�f�Ä�YlYg�dcif�Ù�dfYa]�fY�

heure.

5ggifYf�`»UWW�g�{�Ù�XcWiaYbhUh]cb"

mise en œuvre des procédures du pca : Formaliser autant que possible un nombre

réduit de procédures.

@Yg�Ã�W\Yg��UWh]cbg�®�Xc]jYbh��hfY�g]ad`Yg�Yh�gd�W]Ã�eiYg�{�W\UeiY�a�h]Yf" 8]gdcgYf�XY��Ã�W\Yg�f�Ä�YlY�®�dUf��a�h]Yf�®"

@Yg�X]gdcg]h]Zg�Xi�D75�gcbh�Wcbgh]hi�g�XY�dfcW�!XifYg�Yh�XY�acmYbg�gd�W]Ã�eiYg"�@Y�dìg�[fUbX�f]geiY�Ygh�eiY�WYg�X]gdcg]h]Zg�gc]Ybh�aU`�Wcbbig�par les personnes en charge de leur mise en

µijfY"�@Yg�acXU`]h�g�XY�ZcfaUh]cb �XY�j�f]Ã�WU!tion et de maintien en condition opérationnelle

du PCA sont essentielles �Y``Yg�Zcbh�`»cV^Yh�XYg�Ã�W\Yg�&)�Yh�&*�"

comment disposer des moyens nécessaires à la mise en œuvre du pca ?=`�ZUih�aYhhfY�Yb�µijfY�`Yg�aYgifYg�b�WYg!gU]fYg�{�Ù�hYbiY�XY�`»cV^YWh]Z�XY�dYfhY�XY�

fYggcifWYg�aUl]aU`Y�UXa]gg]V`Y��DFA5��ci�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y�(PDMA) et rendre possible l’activation du

D75"�@U�`]ghY�hf�g�dUfh]Y``Y�ei]�gi]h�Ygh�{�WY�titre indicative :

A]gY�Yb�dÙWY�XYg�X]gdcg]h]Zg�Yh�dfcW�XifYg�ei]�XYjfcbh�Ujc]f��h��df�UÙV`YaYbh�X�Ã�b]g �ZcfaU`]g�g�Yh�]bh�[f�g�XUbg�`Yg�dfcWYggig�métier pour être activités au déclenchement

du plan.

AYgifYg�gd�W]Ã�eiYg�dcif�`Yg�fYggcifWYg�\iaU]bYg��Yl�.�`»cf[Ub]gUh]cb�Xi�gmgh�aY�d’astreintes).

AYgifYg�gd�W]Ã�eiYg�Uil�]bZfUghfiWhifYg��Yl�.�Ù�df�dUfUh]cb�XYg�g]hYg�XY�fYd`]g�" AYgifYg�gd�W]Ã�eiYg�Uil�gmgh�aYg�X»]b!

ZcfaUh]cb��Yl�.�Ù�f�j]g]cb�XY�`»UfW\]hYWhifY�XYg�gmgh�aYg�X»]bZcfaUh]cb�dcif�ZUW]`]hYf�̀ U�synchronisation des données, la création de

points stables pour les applications interdé-

pendantes, le découpage en plaques secou-

fUV`Yg�\cac[�bYg�Yh�V�b�Ã�W]Ubh�XY�dc]bhg�XY�gmbW\fcb]gUh]cb�Wcaaibg�/�ci�YbWcfY�̀ U�a]gY�en place de procédures de sauvegarde des

Xcbb�Yg �UjYW�Ù�Zf�eiYbWY�WcffYgdcbXUbh�Uil�cV^YWh]Zg��dYfhYg�XY�Xcbb�Yg�aUl]aia�admissible : PDMA, avant la survenue du

sinistre).

Moyens de communication spécialisés pour

ZU]fY�ZUWY�{�`»UVgYbWY�XYg�acmYbg�diV`]Wg �qui pourront être utilisés en mode dégradé.

Ces moyens devront être connus et utilisés

Yb�d�f]cXY�bcfaU`Y�dcif��hfY�ZUW]`YaYbh�a]g�en œuvre en cas de déclenchement dans le

cadre du PCA.

AYgifYg�gd�W]Ã�eiYg�{�Ù�g�Wif]h��Wcbc!a]eiY �UjYW�bchUaaYbh�`Yg�X]gdcg]h]Zg�XY�récupération des données les plus sensibles.

AYgifYg�gd�W]Ã�eiYg�Yb�WUg�XY�X�ZU]`ÙbWY�de partenaire.

HYghg�XY�ZcbWh]cbbYaYbh�XY�WYg�X]gdcg]h]Zg�UjYW�Ù�Zf�eiYbWY�X�Ã�b]Y"

objectif

IbY�Zc]g�`Y�D75�jU`]X� �`»�ei]dY�dfc^Yh�Xc]h�fYghYf�]ad`]ei�Y�dcif�d]`chYf�Ù�a]gY�en œuvre des moyens et procédures qui seront nécessaires en cas d’activation des

X]gdcg]h]Zg�Xi�dÙb"�

:=7<9�21

la mise en Œuvre des MoYens nécessaires au pca



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Processus de gestion de crise et PCA

page 1/3

la fonction de la cellule de crise, qui est

décrite dans le corps du guide, est de contri-

ViYf�{�aU�hf]gYf�̀ »]bWYfh]hiXY�XifUbh�̀ U�Wf]gY"�9b�YZZYh �̀ »]bWYfh]hiXY�ei]�YbhcifY�̀ Yg��j�bYaYbhg�redoutés impose de développer une stratégie

de réponse qui s’appuie sur l’anticipation de

scénarios plausibles, permettant d’aboutir à

XYg�W\c]l�fUh]cbbY`g ��j]hUbh�U]bg]�XY�f�U[]f�XY�aUb]�fY�UZZYWh]jY�{�WY�eiY�`»cb�X�WcijfY"�La gestion de crise est intimement liée au PCA.

=`�Ygh�Yb�YZZYh�fUfY�ei»]`�m�U]h�ibY�X�W]g]cb�X»UW!h]jYf�XYg�X]gdcg]h]Zg�df�jig�dUf�`Y�D75�gUbg�qu’il y ait eu décision d’activer la cellule de

crise. A contrario il peut y avoir une cellule

de crise pour beaucoup d’autres incidents qui

bY�îgh]Ã�Ybh�dUg�XY�aYhhfY�Yb�µijfY�`Y�D75"�7»Ygh�Ù�fU]gcb�dcif�ÙeiY``Y�`Y�X]gdcg]h]Z�XY�gestion de crise est souvent décrit dans un

dÙb�gd�W]Ã�eiY �Yb�XY\cfg�Xi�D75�ei]�m�ZU]h�gYi`YaYbh�f�Z�fYbWY"�IbY�UihfY�cdh]cb�Ygh�eiY�`Y�dfcWYggig�XY�[Ygh]cb�XY�Wf]gY�Ã�[ifY�XUbg�̀ Y�hfcbW�Wcaaib�`cfgei»Yl]ghYbh�dìg]Yifg�D75"�8»ib�dc]bh�XY�jiY�cf[Ub]gUh]cbbY` �]`�Ygh�Zf�!quent que le responsable du PCA (RPCA) se

trouve être également le responsable de la

gestion de crise.

procédures génériques de gestion de crise gd�W]Ã�eiYg�Ui�D75@Yg�XYgWf]dh]Zg�gi]jUbhg�gcbh�XYg�YlYad`Yg�[�b�f]eiYg�XY�dfcW�XifYg�Yh�Ã�W\Yg�WcbWYfbUbh�le PCA :

Procédure de remontée de l’alerte jusqu’à l’activation et suivi du PCA :- UggifYf�ib�gi]j]�XYg�g][bUil�df�WifgYifg �- ]XYbh]Ã�Yf�XYg�]bW]XYbhg�aU^Yifg�aYbU�Ubh�̀ Y�

Vcb�ZcbWh]cbbYaYbh�X»UWh]j]h�g�YggYbh]Y``Yg

- ZU]fY�fYacbhYf�`»]bZcfaUh]cb�Xi�WcffYgdcb!dant local vers le responsable du PCA, en

appliquant la procédure d’escalade,

- UggifYf�`Y�X]U[bcgh]W�Yh�Ù�eiU`]Ã�WUh]cb�XY�l’événement,

- ]XYbh]Ã�Yf�`Yg�g][bYg�UbbcbW]UhYifg�X»]bhYf!ruption d’activité pouvant donner lieu à

l’activation du PCA,

- alerter le responsable de la gestion de crise ou

le directeur de l’organisation,

- décider d’activer la cellule de crise,

- décider d’activer certaines parties du PCA,

- jU`]XUh]cb�XY�X]gdcg]h]Zg�XY�Wcbh]bi]h��{�mettre en œuvre,

- schéma délégataire, permettant la poursuite

d’activité et les délégations de signature,

- aYgifYg�gd�W]Ã�eiYg�{�X�W`YbW\Yf�dcif�ib�ZcbWh]cbbYaYbh�Yb�acXY�X�[fUX�

- assurer un pilotage par la cellule de crise

opérationnelle,

- Suivi des indicateurs de continuité d’activité.

:]W\Yg�gd�W]Ã�eiYg�. - remontée d’alerte,

- eiU`]Z]WUh]cb�.� `]Yi#bUhifY#\YifY#Wcbg�!quences/actions prises,

- mobilisation de la cellule de crise : lieu,

WcbÃ�[ifUh]cb �WcbjcWUh]cbg - gi]j]��dUf�UWh]j]h�#gcig!UWh]j]h��/��hUh�XY�ZcbW!

tionnement et de reprise,

- fYhcif�X»Yld�f]YbWY �Ã�W\Y�ei]�Xc]h��hfY�fYa!d`]Y�X�g�`Y�X�Vih�XY�Ù�Wf]gY �Udf�g�Ujc]f�nommé un responsable pour ce suivi (voir

Yb�UbbYlY�(�`Y�acX�`Y�XY�Ã�W\Y�F9H9L� - suivi de la bonne prise en compte des recom-

aUbXUh]cbg�]ggiYg�Xi�F9H9L - X�WÙfUh]cbg�Uil�UggifUbWYg - Df]gY�Yb�WcadhY�XYg�UgdYWhg�îf]X]eiYg"��

objectif

Si un sinistre devait survenir malgré les mesures de prévention, compte tenu de

gU�[fUj]h��Yh�Xi�WcbhYlhY�X»]bWYfh]hiXY�gif�`»�jcìh]cb�XY�Ù�Wf]gY �`Yg�aYgifYg�XY�dfchYWh]cb �X»]bhYfjYbh]cb�Yh�XY�`]a]hUh]cb�XYg�YZZYhg�XYjfU]Ybh��hfY�d]`ch�Yg�dUf�ibY�cellule de gestion de crise.

:=7<9�22

processus de gestionde crise et pca

page suivante


l’annuaire de criseIl s’agit naturellement d’un outil essentiel pour

permettre d’alerter rapidement les personnes

qui ont besoin de connaître la situation dans

`Yg�X�Ù]g�ih]`Yg�WcadhY�hYbi�XY�̀ Yifg�f�`Yg�XUbg�`Y�X]gdcg]h]Z�XY�Wf]gY"

les moyens de communicationDes moyens de communication doivent être

df�jig�dcif�̀ »U`YfhY �̀ U�fYacbh�Y�X»]bZcfaUh]cb �la communication des décisions et consignes,

le dialogue avec les services de l’État et les

autres organisations concernées par la gestion

de la crise. Des moyens « en mode dégradé »

doivent être prévus en cas d’indisponibilité

des moyens habituels.

la cellule de crise@U�WY`ì`Y�XY�Wf]gY ��W\YZ�X»cfW\YghfY�®�XY�`»Yb!semble, est indispensable pour répondre à

XYg�g]hiUh]cbg�bcb�aU�hf]g�Yg"�9``Y�WcadfYbX�bchUaaYbh�̀ Yg�ZcbWh]cbg�gi]jUbhYg��ei]�dYijYbh�être regroupées ou éclatées, en veillant dans

ce dernier cas à une étroite coordination entre

les cellules) :

Fonctions à assurer dans la cellule de crise :- suivi et analyse de la situation,

- anticipation,

- cellules techniques (ou processus) capables

d’analyser les conséquences sur les métiers

et activités,

- cellule d’aide à la décision (capable de simuler

X]ZZ�fYbhYg�f�dcbgYg�dcgg]V`Yg �{�X]ZZ�fYbhg�paliers de la crise, et de proposer la meilleure

gcìh]cb �XUbg�ib�WcbhYlhY�X»]bWYfh]hiXY� - cellule de décision,

- cellule de coordination et suivi des actions,

- cellule de relation avec les parties prenantes

(dont l’État et les partenaires),

- cellule de communication avec les média (voir

Ã�W\Y�&(�"

Les participants à la cellule de crise compren-

bYbh�{�h]hfY�]bX]WUh]Z�Yh�gUbg�df�îX]WY�X»cijYfhifY�{�X»UihfYg�YldYfh]gYg�.- l’autorité désignée par la direction de

l’organisation,

- le responsable de la gestion de crise (s’il

n’est pas l’autorité désignée),

- le responsable du PCA, le directeur des

risques,

- les responsables des métiers et des proces-

sus touchés par la crise,

- ̀Yg�fYgdcbgUV`Yg�XYg�fYggcifWYg�UZZYWh�Yg�par la crise,

- Les responsables de moyens nécessaires

pour la gestion de crise.

on ne peut qu’insister sur l’importance de la (ou des) cellule(s) d’analyse de l’information et d’anticipation pour donner du sens à l’in-formation et donc au processus de décision.

la cellule de relation avec les parties pre-nantes (dont l’État et les partenaires) est

également essentielle pour développer une

X�aUfW\Y�hfUbgjYfgY �XUbg�ib�WcbhYlhY�c��les grandes crises ont des répercussions en

WUgWUXY �dUf�`Y�gYi`�YZZYh�XYg�]bhYfX�dYb!XUbWYg"�7YÙ�dYfaYh�XY�a]Yil�WcadfYbXfY�̀ U�situation, de partager la compréhension de la

g]hiUh]cb �XY�a]Yil�UbU`mgYf�`Yg�]adUWhg�gif�`»Ybj]fcbbYaYbh��Wcbca]eiY �XY�ZUW]`]hYf�Ù�recherche de solutions. La réponse collective

Yl]ghY�X�^{�XUbg�WYfhU]bg�gYWhYifg�X»UWh]j]h��dUf�YlYad`Y�dUf�Ù�aihiU`]gUh]cb�XY�Ù�[Yg!tion de crise dans la grande distribution).

7YhhY�X�aUfW\Y ��hYbXiY�Uil�dUfhYbU]fYg�internes de l’organisation, permet également

de donner du sens à l’action, chacun se sen-

hUbh�acV]`]g��XUbg�Ù�a�aY�Ã�bU`]h�"�le lien avec les services de l’état n’est pas repris ici WUf�]`�ZU]h�`»cV^Yh�XY�Ù�Ã�W\Y�%,"

le lien entre la gestion opérationnelle et la gestion stratégique de la crise doit être bien Wcadf]g�Yh�fYbZcfW� �XY�ZU�cb�{�Ä�i]X]Ã�Yf�`Yg�circuits d’information.

Processus de gestion de crise et PCA :=7<9�22page 2/3


page suivante


les fiches pratiques Processus de gestion de crise et PCA

page 3/3

:=7<9�22

les aspects humains sont essentiels dans

la gestion de la crise, de part les pressions

considérables qui résultent de la nécessité de

réagir rapidement à l’événement, du manque

Zf�eiYbh�X»]bZcfaUh]cbg�Ã�UV`Yg�Yh�XY�̀ U�X]ZÃ�!culté à anticiper.

la compréhension des situations psycholo-giques des participants durant des périodes de stress doit permettre d’éviter des com-portements pouvant conduire à de mauvaises décisions.

exemples de comportements à risques en situation de crise21 : Au début de la crise :

- minimisation de la gravité de certains

événements,

- absence de prise de conscience de la situa-

tion dégradée,

- sentiment de pouvoir maîtriser la situation

UjYW�`Yg�acmYbg�`cWUil" Durant la crise :

- WcbÃ�UbWY�UjYi[`Y��YbjYfg�ibY�dYfgcbbY�ci�un plan),

- crainte de s’écarter du consensus, d’évoquer

XYg�dcg]h]cbg�X]ZZ�fYbhYg - UVgYbWY�XY�Wcaaib]WUh]cb�UjYW�̀ »Ylh�f]Yif �

les médias,

- absence de communication en interne, de

calage des cellules,

- incapacité à déléguer.

Au cœur de la crise, avec un fort stress :- gif�f�UWh]cb�ZUWY�{�Ù�X�WcijYfhY�XY�`»]bU!

déquation des moyens,

- état de choc, sidération, inhibition,

- ci�f�UWh]cb�Yb�g]hiUh]cb�XY�dUb]eiY �Zi]hY�Yb�UjUbh �gifYbW\�fY

- UVgYbWY�X»�WcihY �XY�ZcbWh]cbbYaYbh�Yb�réseau,

- fYZig�XY�gY�fYaYhhfY�Yb�WUigY �XY�fYjc]f�Ù�stratégie, obstination rigide,

- ci �Ui�WcbhfU]fY �W\Ub[YaYbhg�hfcd�Zf�!quents, agitation stérile,

- ZUh][iY� Yh� UWh]cbg� UihcaUh]eiYg � gUbg�f�Ä�Yl]cb �YhW"

pour éviter ces écueils il est nécessaire de professionnaliser les participants de la cellule XY�Wf]gY �Ui�acmYb�XY�ZcfaUh]cbg�gd�W]Ã�eiYg�et d’exercices.

21 / les exemples de pCa qui n’ont pas été mis en œuvre correctement dans une situation de stress pourtant prévue dans le pCa sont

bcaVfYil"�(-��XYg�gcW]�h�g�UZZYWh�Yg�dUf�`Yg��j�bYaYbhg�Xi�%%�gYdhYaVfY�&$$%�{�BYk!Mcf_�cbh�X�W`YbW\��`Yif�D75"�7YdYbXUbh �XUbg�XY�bcaVfYil�WUg �`Yg�VcbbYg�X�W]g]cbg �b»cbh�dUg��h��df]gYg�dUf�Ù�X]fYWh]cb�XY�WYg�gcW]�h�g"��kkk";`cVU`Wcbh]bi]hm"Wca�"

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4


les fiches pratiques Quand et comment déclencher le PCA ?

page 1/3

1. déclenchement en phase d’alerte= �̀Ygh�gci\U]hUV`Y�XY�dcijc]f�X�hYWhYf�XYg�g][bUil�précurseurs ou annonciateurs d’un sinistre

�WUhUghfcd\Y�bUhifY``Y �UWW]XYbh�aU^Yif �aYbUWY�terroriste, atteinte grave à l’image, etc.). Pour

WY�ZU]fY�̀ »cf[Ub]gUh]cb�Xc]h�]X�U`YaYbh�X]gdcgYf�d’un service ou avoir recours à des prestations de

jY]``Y �UÃ�b�X»�hfY�WUdUV`Y�X»UbU`mgYf�̀ U�g]hiUh]cb �de pouvoir anticiper l’évolution des événements

et déclencher à temps les procédures d’alerte

interne.

G]�`Yg�]bX]WUhYifg�Yh�`»UbU`mgY�WcbÃ�faYbh�`»]a!a]bYbWY�X»ib�g]b]ghfY �̀ Yg�dfYa]�fYg�UWh]cbg��Yb�dUfh]Y�Yb�acXY�f�Ä�YlY��WcbWYfbYbh�̀ Yg�aYgifYg�de prévention/ protection/ intervention (qui ne

sont pas traitées dans ce document).

@U�XYil]�aY��hUdY�Wcbg]ghY�{�aYhhfY�̀ »cf[Ub]gU!h]cb�Yb�aYgifY�XY�ZU]fY�ZUWY�Uil�WUhUghfcd\Yg�dcg!sibles en activant ses mécanismes de résilience.

7\UeiY�cf[Ub]gUh]cb�dchYbh]Y``YaYbh�UZZYWh�Y�(directement ou indirectement) doit donc étudier

l’opportunité de déclencher le PCA en phase

d’alerte dcif�ib�d�f]a�hfY�ei]�XYjfU��hfY�X�Ã�b]�et pour une durée qui devra être précisée : Mobiliser les responsables du plan de continuité

et de sa mise en œuvre.

J�f]Ã�Yf�`Y�Vcb�ZcbWh]cbbYaYbh�XYg�X]gdcg]h]Zg�prévus en cas de déclenchement du plan de

continuité.

J�f]Ã�Yf�̀ U�X]gdcb]V]`]h��XYg�acmYbg�XY�Wcaai!nication interne et des annuaires.

5Wh]jYf�`Y�X]gdcg]h]Z�X»UghfY]bhYg" Assurer le travail de suivi, d’analyse et d’anti-

cipation, avec montée en puissance de la cellule

d’analyse.

9ZZYWhiYf�`»YbfY[]ghfYaYbh�XYg�]bZcfaUh]cbg�critiques concernant l’incident, les actions entre-

df]gYg�Yh�`Yg�dfYa]�fYg�X�W]g]cbg�df]gYg" informer si nécessaire les services d’urgence

et/ou les services de l’état.

=XYbh]Z]Yf� `Yg�acaYbhg� W`�g�XY�df]gY�XY�décision pour :

- déclencher la mise en place de la solution

palliative,

- déclencher la mise en place de la solution de

secours,

- ]XYbh]Ã�Yf�`Yg�dc]bhg�XY�bcb�fYhcif"

2. déclenchement en phase d’activationLa décision de déclencher le PCA en phase d’ac-

h]jUh]cb�dYih��hfY�df]gY�gi]hY�Uil�Wcbg][bYg�XY�l’État lors d’une catastrophe naturelle touchant

ibY�ncbY�Xcbb�Y �ci�{�`»]b]h]Uh]jY�de chaque organisation, en liaison avec son environnement

X]fYWh��Yb^Yil�ghfUh�[]eiYg �WcbhfUhg�Yl]ghUbhg �activités mutualisées touchées, etc.).

Cette phase d’activation est constituée d’une

succession de décisions prises par paliers, en

ZcbWh]cb�XY�`»�jcìh]cb�XY�Ù�g]hiUh]cb�Yh�XYg�a�WUb]gaYg�df�UÙV`YaYbh�X�Ã�b]g"�8Yg�X]g!dcg]h]Zg�dYijYbh��hfY�UWh]j�g�giWWYgg]jYaYbh �par « crans » :

Décision d’activer la cellule de crise

décisionnelle.

Décision d’activer telle solution palliative et/

ou de secours.

AcXU`]h�g�gd�W]Ã�eiYg�Yb�WUg�XY�VUgWi`YaYbh��{�Zfc]X�®�ci��{�W\UiX�®" Activation de la cellule de crise opérationnelle

pour gérer la mise en œuvre des solutions pal-

liative et/ou de secours, etc.

Il est indispensable que chaque correspondant

du PCA et que chacune des parties prenantes de

gU�a]gY�Yb�µijfY�WcbbU]ggY�YlUWhYaYbh�eiY`�Ygh�gcb�f�`Y�Yh�̀ »UWh]cb�UhhYbXiY �Yb�ZcbWh]cb�XYg�Wcbg][bYg�Ã�[ifUbh�XUbg�̀ Y�dÙb"�@Y�gW\�aU�dU[Y�suivante donne une idée des acteurs concernés,

`Y�fYgdcbgUV`Y�]bZcfaUh]eiY��hUbh�aYbh]cbb��]W]�{�h]hfY�X»YlYad`Y�XY�fYgdcbgUV`Y�XY�fYggcifWYg�critiques.

objectif

7cbbU�hfY�`Y�Vcb�acaYbh�Yh�Ù�aUb]�fY�XY�X�W`YbW\Yf�ib�D75"

:=7<9�23

quand et comment déclencHer le pca ?

page suivante


articulation des parties prenantes dans le déroulement du pca

Sinistre


palliative

Axe du temps


UTILISATEURS

CELLULE DE CRISE

RESPONSABLEINFORMATIQUE


secours #1


secours #2Fonctionnement

normal

Protection / sauvegardes

Évaluation, anticipation, mobilisation, décisions

Décision d’activer le mode secours

Alerte / sauvegardes

Mécanisme de récupération

Fonctionnement avec des solutions dégradées

Décision d’activer le retour à la normale

Préparation du plan de reprise

Mise en œuvre du plan informatique de secours

Mise en œuvre du plan de restauration et de synchronisation

Quand et comment déclencher le PCA ? :=7<9�23page 2/3


page suivante

Ce tableau présente la chronologie de reprise

dfc[fYgg]jY�îgei»{�Ù�fYdf]gY�Wcad`�hY�XY�l’activité.

la décision d’activer la cellule de crise est une étape importante. il vaut mieux la déclencher trop tôt que trop tard.

Décision de mettre en place une cellule de crise : =`� Ygh� fYWcaaUbX��eiY� `»�ei]dY�dfc^Yh�

D75�aYhhY�Yb�dÙWY�Yh�aU]bh]YbbY�{�^cif�ib�annuaire de crise, accessible sous plusieurs

ZcfaYg�Yh�Ùf[YaYbh�X]ZZig�" Il est recommandé que le PCA décrive les

moyens de communication, les sources d’in-

ZcfaUh]cbg�Yh�̀ Yg�VYgc]bg�Yb�̀ cWUil�Yh�dcghYg�de travail nécessaires pour permettre à la

WY`ì`Y�XY�Wf]gY�XY�ZcbWh]cbbYf" Il est recommandé que le PCA comporte une

phase d’escalade qui permette d’adapter les

aYgifYg�X�W`YbW\�Yg�{�Ù�[fUj]h��]XYbh]Ã��Y�XY�`»]bW]XYbh"�±�WYhhY�Ã�b �`Y�D75�Xc]h�X�hYf!

miner, au préalable, les indicateurs et leurs

valeurs seuils qui caractériseront la gravité

de l’incident.

Il est nécessaire que la cellule de crise com-

dcfhY�ib�dYfgcbbY`�W\Uf[��XY�hYb]f�{�̂ cif�ibY�main courante des actions décidées.

3. reprise d’activité en mode secoursLa reprise d’activité en mode secours impose

de prendre la décision de basculer sur d’autres

ressources, ce qui veut dire qu’il peut ne plus

être possible de revenir à la situation anté-

f]YifY"�7Y�W\c]l�Xc]h��hfY�ZU]h�Yb�WcbbU]ggUbWY�de cause, sur la base de l’estimation de la durée

de l’interruption de l’activité et du délai requis

pour mettre en œuvre le mode secours.

Le PCA doit prévoir les priorités de rétablisse-

ment, car il n’est généralement pas possible de

reprendre tous les processus arrêtés en mode

gYWcifg �U]bg]�eiY�`Yg�b]jYUil�XY�gYfj]WY�{�assurer. Il en est de même pour les ressources

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4


les fiches pratiques Quand et comment déclencher le PCA ?

page 3/3

{�df�gYfjYf�Yh�dfch�[Yf�X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY �pour permettre la reprise d’activité en mode

secours.

Il est recommandé que le responsable de la

reprise d’activité et ses correspondants soient

acV]`]g�g�X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY�dcif�Uddf�!cier les modalités de mise en œuvre du ou des

mode(s) secours.

Le mode secours n’a généralement pas vocation

à s’éterniser. Il est donc nécessaire de prendre

Yb�WcadhY�Ù�Xif�Y�aUl]aU`Y�UXa]gg]V`Y�Xi�mode secours pour anticiper les décisions

appropriées.

4. plan de retour en fonctionnement normal@Y�fYhcif�Yb�ZcbWh]cbbYaYbh�bcfaU`�Xc]h�gY�df�!dUfYf�X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY�gcig�̀ U�WcbXi]hY�du responsable du PCA.

7YfhU]bYg�ZcbWh]cbg�Uifcbh��h��df�UÙV`YaYbh�X�Ã�b]Yg�Yh�f�X][�Yg�XUbg�`Y�D75�. =XYbh]Ã�WUh]cb�df�UÙV`Y�XY�̀ »cfXfY�XY�fYdf]gY" ;Ygh]cb�Xi�X]gdcg]h]Z�X»]bhYfjYbh]cb�Yh�XY�fYg!

hUifUh]cb�Yb�ZcbWh]cb�XYg�df]cf]h�g�XY�fYdf]gY"

8]gdcg]h]Z�XY�VUgWi`YaYbh�dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil��g]hY�]bZcfaUh]eiY �V|h]!ment, etc.).

8if�Y�aUl]aU`Y�XY�ZcbWh]cbbYaYbh�gif�`Y�gmgh�aY�XY�fYd`]"

Il est recommandé de prévoir la possibilité

X»ib�ZcbWh]cbbYaYbh�d�fYbbY�gif�`Y�g]hY�XY�repli, sans qu’il y ait de retour au mode normal

antérieur.

=`�Ygh�fYWcaaUbX� �X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY �XY�j�f]Ã�Yf�eiY�̀ Yg�fYggcifWYg�b�WYggU]fYg�dcif�̀ U�fYdf]gY�Yb�ZcbWh]cbbYaYbh�bcfaU`�gcbh�df�jiYg�et sont progressivement réunies.

1RWH�� /D�SKDVH�GH� UHWRXU�HQ�PRGH�QRUPDO�Q«FHVVLWH�VRXYHQW�XQH�IRUWH�FRRUGLQDWLRQ�HQWUH�GHV�RUJDQLVDWLRQV�GLì�«UHQWHV�SRXU�SHUPHWWUH�OD�UHSULVH�OD�SOXV�UDSLGH�SRVVLEOH�GH�OØDFWLYLW«�«FRQRPLTXH�

:=7<9�23


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Le plan de communication de crise

les différents moments de la communica-tion interne sont : Avant et durant l’élaboration du plan, avec

les objectifs suivants :- sensibiliser les parties prenantes,

- montrer l’implication de la direction,

- Yld`]eiYf�̀ U�a�h\cXY�Yh�̀ Y�f�`Y�UhhYbXi�XYg�parties prenantes.

Une fois le plan validé, il s’agit alors d(e) :- Yld`]eiYf�Ù�ghfUh�[]Y�XY�Wcbh]bi]h� - s’assurer que les ressources nécessaires

gcbh�X]gdcb]V`Yg�Yh�eiY�̀ Yg�Yl][YbWYg�gYfcbh�intégrées dans les processus métier,

- aider les responsables à s’investir dans la

mise en œuvre du PCA,

- Yld`]eiYf�`Yg�acXU`]h�g�XY�j�f]Ã�WUh]cb�Yh�promouvoir une démarche d’amélioration

continue du PCA.

Lors du déclenchement du plan, la commu-nication vise à :- mobiliser les parties prenantes,

- rappeler les actions à préparer puis à mettre

en œuvre,

- transmettre les décisions et consignes,

- UZÃ�W\Yf�`Yg�f�gi`hUhg�cVhYbig"

les différents destinataires de la commu-nication en temps de crise sont : D’abord le personnel (responsables des

métiers et des processus, responsables des

activités, tout le personnel, les sous-traitants

présents).

Di]g�`Yg�Zcifb]ggYifg�Yh�W`]Ybhg�XY�`»cf[U!nisation, qui ont besoin de connaître des

X]gdcg]h]Zg�Xi�D75�Yh�XY�gU�a]gY�Yb�µijfY" Les autres partenaires concernés par la mise

en œuvre du PCA.

Les services de l’État et des collectivités

territoriales.

Le grand public.

recommandations Il est recommandé que le PCA désigne le res-

dcbgUV`Y�W\Uf[��XY�X]ZZigYf�̀ Yg�]bZcfaUh]cbg�pendant la crise, ainsi que les éléments de

Ùb[U[Y�hmdYg �UXUdh�g�Uil�X]ZZ�fYbhg�gW�!narios craints.

Ce responsable doit être connu de tous les

interlocuteurs potentiels de l’organisation.

Gcb�Uihcf]h��Xc]h��hfY�UggYn��`Yj�Y�Ui�gY]b�de la hiérarchie de l’organisation pour que

gYg�X]gWcifg�gc]Ybh�Wf�X]V`Yg�Yh�bY�d|h]ggYbh�dUg�XYg�X�Ù]g�]b\�fYbhg�Uil�dfcWYggig�XY�validation hiérarchique.

objectif

Compte tenu du besoin d’impliquer de nombreuses personnes, d’assurer la

cohérence d’ensemble, l’usage d’une méthodologie commune et la bonne mise en

µijfY�XYg�aYgifYg�fYhYbiYg �Ù�Wcaaib]WUh]cb�Ygh�YggYbh]Y``Y�Ui�giWW�g�Xi�D75"

:=7<9�24

pca et communication de crise


les fiches pratiques =bX]WUhYifg�X»YZÃ�W]YbWY�Xi�D75

des indicateurs, permettant de mesurer l’avancement du projet, doivent être suivis par l’équipe projet. Ils concernent les aspects

hYW\b]eiYg��UfW\]hYWhifY�Xi�gmgh�aY�X»]bZcf!aUh]cb �f�gYUil�XY�Wcaaib]WUh]cb�g�Wif]g�g� �`Yg�]bZfUghfiWhifYg��a]gY�Yb�dÙWY�X»ib�g]hY�de repli), les ressources humaines (révision

éventuelle de la convention collective, éta-

blissement de la liste des postes critiques),

`Yg�fYÙh]cbg�UjYW�̀ Yg�Zcifb]ggYifg��ZcfaU`]gU!h]cb�XYg�Yl][YbWYg �Wcbhf�`Yg�"�Ib�V]Ùb�{�XUhY�df�X�Ã�b]Y�dYfaYhhfU�XY�Wcff][Yf�XYg��WUfhg�éventuels.

il faut par la suite disposer d’indicateurs de performance des procédures de mise en œuvre du pca�Yh�XYg�aYgifYg�X�Ã�b]Yg�XUbg�̀ Yg�X]ZZ�fYbhg�dÙbg�a�h]Yfg �dUf�̀ Yg�fYgdcbgUV`Yg�XY�fYggcifWYg�Yh�bchUaaYbh�]bZcfaUh]eiY"�=`�g»U[]h�XY�aYhhfY�{�̀ U�X]gdcg]h]cb�XYg�X]ZZ�fYbhg�fYgdcbgUV`Yg�W\Uf[�g�X»ib�f�`Y�gd�W]Ã�eiY�XUbg�la mise en œuvre du PCA un instrument de

aYgifY�dcif�j�f]Ã�Yf�̀ »YZÃ�WUW]h��XY�̀ Yifg�UWh]cbg�et les améliorer si nécessaire :

8]gdcb]V]`]h��XYg�fYggcifWYg�gd�W]Ã�eiYg" Processus du PCA intégrés dans les processus

bcfaUil�Yh�f�Z�fYbW�g" Gestion de l’impact de ces processus spéci-

Ã�eiYg�gif�̀ Y�ZcbWh]cbbYaYbh�XY�̀ »cf[Ub]gUh]cb" Df�gYbhUh]cb�Uil�]bghUbWYg�fYdf�gYbhUh]jYg�

du personnel.

:]W\Yg�f�Ä�YlYg�dUf�a�h]Yf" J�f]Z]WUh]cb�eiY� `Yg�dfcW�XifYg� fYghYbh�

g]ad`Yg��dUf�YlYad`Y �Ujc]f�Ù�a�aY�dfcW�!dure d’évacuation, quelle que soit la cause

du sinistre).

Besoin de soutien par une assistance à la

conduite du changement.

DUf�U]``Yifg�XYg�]bX]WUhYifg�XYjfcbh��hfY�X�Ã�!b]g�dcif�aYgifYf�`»YZÃ�WUW]h��Xi�D75"=`�g»U[]h�̀ {�XY�j�f]Ã�Yf�X»UVcfX�eiY�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��f�dcbX�Uil�cV^YWh]Zg�Ã�l�g �hY`g�eiY�. Maintenir la disponibilité des activités essen-

h]Y``Yg��hYb]f�ib�b]jYUi�XY�8A=5�gd�W]Ã��dcif�chaque activité essentielle).

Disposer d’indicateurs pour mesurer le niveau

de l’activité normale et de l’activité en mode

dégradé.

Dfch�[Yf� `Y� dUhf]ac]bY� Udd`]WUh]Z� Yh�]bZcfaUh]cbbY`" Tenir la durée et le niveau de service assuré en

mode dégradé, pour chaque activité essentielle,

en cas de déclenchement du plan.

Limiter la durée d’indisponibilité des activités

essentielles de l’organisation et la quantité de

données perdues en cas de déclenchement du

plan, tant au moment de la bascule vers le site

de secours qu’au retour vers le site principal.

Assurer le traitement des besoins par ordre

de priorité.

Assurer le mode secours et le rétablissement

selon les priorités établies.

Ne pas dépasser le coût du PCA validé.

F�Xi]fY�Ù�Wcad`Yl]h��XYg�gcìh]cbg�Xi�D75" S’appuyer sur l’analyse de risque des activités

et des processus de l’organisation.

Revoir cette analyse de risque en cas de décou-

jYfhY�XY�bcijYUil�f]geiYg�]adcfhUbhg" Améliorer la résilience en étendant progressi-

vement les scénarios pris en compte.

8]gdcgYf�X»ibY�cf[Ub]gUh]cb�f�X�Y�Yh�V]Yb�YbhfU�b�Y�{�f�U[]f�Uil��j�bYaYbhg �m�Wcadf]g�Uil�dfcV`�aYg�]adf�jig �YhW"�Finalement des indicateurs peuvent permettre de suivre les valeurs d’évolution du PCA

WcaaY�̀ Y�X�Ù]�XYdi]g�`Yg�XYfb]Yfg�YlYfW]WYg�f�U`]g�g �XYdi]g�Ù�XYfb]�fY�fYa]gY�{�^cif�XY�`»UbU`mgY�XY�f]geiY�ci�WY``Y�XYg�X]ZZ�fYbhg��`�!ments de la documentation du plan.

objectif

Il est recommandé de disposer d’indicateurs regroupés dans un tableau de bord qui

XcbbY�ibY�aYgifY�[`cVU`Y�XY�`»YZÃ�W]YbWY�Xi�dÙb�Yh�XY�gU�a]gY�Yb�µijfY"�7YhhY�`]ghY�X»]bX]WUhYifg�Ygh�ih]`YaYbh�UbbYl�Y�Ui�D75"

:=7<9�25

les indicateurs d’eFFicience du pca




les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

Maintien en condition opérationnelle du PCA

page 1/2

le pca doit bien faire apparaître : La hiérarchisation des priorités.

L’organisation et le processus pour la prise

de décision.

Les moyens mobilisables.

@Yg�dfcWYggig�gd�W]Ã�eiYg�Ui�D75" @Yg�X]gdcg]h]Zg�Yh�`Yg�fYggcifWYg�ei]�Xc]jYbh�

être connus et rester disponibles.

@Yg�Wcbhf�`Yg" @Y�X]gdcg]h]Z�X»Ua�`]cfUh]cb�Wcbh]biY"

Une fois le plan établi et validé, les ressources Xc]jYbh��hfY�YZZYWh]jYaYbh�]XYbh]Ã��Yg �`Yg�acX]Ã�WUh]cbg�]bX]ei�Yg�Xc]jYbh��hfY�YZZYW!tuées, les procédures revues et intégrées dans les processus « métier », et les contrôles doi-vent être effectifs.

le plan doit être vivant et faire l’objet de contrôles réguliers : J�f]Ã�WUh]cbg�d�f]cX]eiYg" 9bhfYh]Yb�XYg�X]gdcg]h]Zg�XY�gYWcifg" Tests des procédures de bascule.

9lYfW]WYg�Yh�YbhfU�bYaYbh��g]ai`�g�ci�f�Y`g�" HYbiY�{�^cif�Xi�dÙb" Mesure du niveau de maturité.

F�j]g]cb�XYg�dfcW�XifYg�Yh�X]gdcg]h]Zg" FYhcif�X»Yld�f]YbWY�Yh�Yld`c]hUh]cb�XYg�

F9H9L"

Rédaction de la documentation du PCA : Il est recommandé de disposer d’un outil de

gestion documentaire pour gérer et entretenir

la documentation.

Il est recommandé qu’une copie (papier et/ou

bia�f]eiY��XY�̀ U�XcWiaYbhUh]cb�gc]h�ghcW_�Y�sur un site distant de l’organisation, dans un

`]Yi�g�Wif]g��Yh�UWWYgg]V`Y�Yb�ZcbWh]cb�XYg�scénarios.

les exercices :@Yg�YlYfW]WYg�gcbh�ib�acmYb�dYfh]bYbh�dcif�jU`]XYf� `»YZZ]W]YbWY�Yh� `»YZZ]WUW]h��Xi�D75"�7\UeiY�YlYfW]WY�Xc]h��hfY�dYbg��Yh�cf[Ub]g��Yb�ZcbWh]cb�XY�WY�eiY�̀ »cb�jYih�j�f]Ã�Yf"�=`�dYih�g»U[]f�dUf�YlYad`Y�XY�j�f]Ã�Yf�. @U�dfcW�XifY�X»U`YfhY��dUf�ib�YlYfW]WY�gif�

table).

@Y�ZcbWh]cbbYaYbh�XY�̀ U�WY`ì`Y�XY�Wf]gY��dUf�ib�YlYfW]WY�g]ai`� �UjYW�UWh]jUh]cb�XY�̀ U�WY`ì`Y�de crise).

Les procédures techniques de basculement

en mode secours (par la mise en œuvre réelle

et périodique).

@U�WccfX]bUh]cb�XYg�X]ZZ�fYbhYg�dUfh]Yg�dfY!bUbhYg �`cfg�X»ib�YlYfW]WY�XY�f�dcbgY�{�ib�incident grave simulé.

Exercices de validation du PCA : =`�Ygh�fYWcaaUbX��XY�g»UggifYf�eiY�Ù�Zcf!

aUh]cb�XYg�dYfgcbbY`g�Uil�dfcW�XifYg�hYW\!niques a bien été ciblée et réalisée avant de

X�W`YbW\Yf�`Yg�dfYa]Yfg�YlYfW]WYg" Il est recommandé de tester les éléments

Wf]h]eiYg�Xi�dÙb�Ui�ac]bg�ibY�Zc]g�dUf�Ub" =`�Ygh�fYWcaaUbX��XY�hYghYf�f�[i`]�fYaYbh�

la procédure de récupération des sauve-

[UfXYg�Yh�XY�g»UggifYf�XY�gcb�YZÃ�WUW]h��Yh�XY�gYg�dYfZcfaUbWYg�dUf�fUddcfh�Uil�VYgc]bg�XY�l’organisation.

Le contrôle documentaire et les rencontres avec les responsables de la mise en œuvre du PCA :=`�Ygh�dcgg]V`Y�XY�j�f]Ã�Yf�dUf�ib�g]ad`Y�Wcbhf�`Y�documentaire que les ressources, procédures et organisations prévues dans le PCA répon-dent bien sur le papier à ces objectifs. Il s’agit

objectif

=XYbh]Ã�Yf�`Yg�dc]bhg�W`�g�XYg�Wcbhf�`Yg�{�YZZYWhiYf�dcif�g»UggifYf�eiY�`Y�D75�Ygh�opérationnel et le reste dans la durée.

:=7<9�26

le maintien en condition opérationnelle du pca

page suivante


X»ibY�h|W\Y�X»UiX]h�j]gUbh�{�j�f]Ã�Yf�eiY�`Yg�ressources, procédures et organisations

df�jiYg�XUbg�`Y�D75�gcbh�YZZYWh]jYaYbh�Yb�place, ou peuvent être mises en place dans

les délais prévus. Il convient également de j�f]Ã�Yf�eiY�̀ Yg�dÙbg �XcWiaYbhUh]cbg �X]fYW!tives et consignes sont connus et accessibles facilement, en toutes circonstances, et propres à l’usage immédiat.

=`�ZUih�YbÃ�b�apprécier la formation, la connais-sance, la compétence et la compréhension du rôle que doit tenir chaque personne ayant une a]gg]cb�X�Ã�b]Y�XUbg�`Y�WUXfY�Xi�D75"

Cette vérification de capacité peut être

ZU]hY� XY� aUb]�fYg� X]ZZ�fYbhYg� Yh� dUfZc]g�complémentaires :

Audit interne périodique, et mise en place

Yh�Yld`c]hUh]cb�XYg�f�gi`hUhg�XYg�Wcbhf�`Yg�YZZYWhi�g"

GifjY]`ÙbWY� f�[i`]�fY� Yh� fYjiYg� XY�dYfZcfaUbWY"� J�f]Ã�WUh]cb�XY�̀ U�WcbZcfa]h��UjYW�̀ Yg�bcfaYg�

�bchUaaYbh�=GC�&&'$%��dUf�Uihc!�jUìUh]cb�ci�dUf�ib�cf[Ub]gaY�XY�WYfh]Ã�WUh]cb�h]Yfg�Yh�accrédité.

Questionnaires d’auto-évaluation sur la

WcbbU]ggUbWY�Yh�`»YZÃ�WUW]h��Xi�D75" %HQFKPDUNLQJ, par comparaisons avec

d’autres organisations.

HYghg�f�[i`]Yfg�XYg�X]gdcg]h]Zg�hYW\b]eiYg" F9H9L�gmgh�aUh]eiYg�gi]hY�{�hcih��j�bYaYbh�

grave.

9lYfW]WYg �m�Wcadf]g�UjYW�`Yg�dUfhYbU]fYg�stratégiques.

J�f]Ã�WUh]cb�Xi�ZcbWh]cbbYaYbh�Xi�X]gdcg]h]Z�d’amélioration continue.

Maintien en condition opérationnelle du PCA :=7<9�26page 2/2



les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

5gdYWhg�îf]X]eiYg�UggcW]�g�{�Ù�a]gY�Yb�µijfY�XY�D75

La continuité d’activité doit nécessairement

être appréhendée à travers le prisme de la

fYgdcbgUV]`]h��îf]X]eiY�XY�`»YbhfYdf]gY"�@Y�dÙb�XY�Wcbh]bi]h��X»UWh]j]h��{�jcWUh]cb�{�̂ ciYf �XUbg�ibY�g]hiUh]cb�XY�ZU]h�YlWYdh]cbbY``Y �gUbg�pour autant que le droit ne s’inscrive dans

WYhhY�`c[]eiY�X»YlWYdh]cb�WcbZcfa�aYbh�{�Ù�aUl]aY�.��{�g]hiUh]cb�YlWYdh]cbbY``Y �fYgdcb!sabilité ordinaire ».

9b�ZU]h �]`�g»U[]h�X»Uddf�\YbXYf�̀ U�fYgdcbgUV]`]h��de l’organisation qui met en œuvre le plan

XY�Wcbh]bi]h� �XY�gU�X�ZU]`ÙbWY �jc]f�XY�gcb�absence. Cela suppose de connaître l’origine

Yh�̀ U�ZcfWY�cV`][Uhc]fY�XYg�hYlhYg�Udd`]WUV`Yg�{�`»YbhfYdf]gY�Yb�aUh]�fY�XY�Wcbh]bi]h��X»UWh]j]h�"�@U�fYgdcbgUV]`]h��îf]X]eiY�Ygh�YbhYbXiY�XY�ZU�cb�YlhYbg]jY�Yh�̀ »]bh�[fU`]h��XYg�UgdYWhg�XY�la responsabilité, tant au plan pénal, que civil

(responsabilité contractuelle et délictuelle),

Xc]h��hfY�YlUa]b�Y"

quelques points d’attention : @Y�W\YZ�X»YbhfYdf]gY�dYih��hfY�hYbi�d�bU`Y!

aYbh�fYgdcbgUV`Y�X»ibY�ZUihY�X»]adfiXYbWY �d’une négligence, d’un manquement à une

obligation de prudence ou de la mise en danger

délibérée de la personne d’autrui 22.

@Y�fYgdYWh�XYg�f�[`Yg�ei]�fY`�jYbh�XY�Ù�responsabilité sociale et environnementale

doit être recherché (notamment pour ce qui

WcbWYfbY�̀ U�df�jYbh]cb�XYg�f]geiYg�dfcZYgg]cb!nels23�Yh�Ybj]fcbbYaYbhUil�"

Le code du commerce dispose qu’un rapport

XYgWf]dh]Z�XYg�df]bW]dUil�f]geiYg�Xc]h��hfY�df�gYbh��Uil�UggYaV`�Yg�[�b�fU`Yg�XY�gcW]�h�g�anonymes24.

@Y�fYgdYWh�XYg�hYlhYg�Ygh�ZUW]`]h��eiUbX�]`�g»U[]h�XY�aYgifYg�XY�g�Wif]h� �WUf�Y``Yg�Zcbh�`»cV^Yh�XY�dfYgWf]dh]cbg�gd�W]Ã�eiYg��hYlhYg�bcfaUh]Zg�"�7YÙ�Ygh�dìg�Wcad`YlY�dcif�`Yg�f�[`Yg�XY�g�fYh��dfchYWh]cb�WcbhfY�`Yg�UWhYg�de malveillance ou de terrorisme) pour les-

quels il n’y a pas de norme, mais seulement

XYg�df]bW]dYg�[�b�fUil��gUiZ�XUbg�XYg�WUg�hf�g�gd�W]Ã�eiYg��X�Wf]hg �dUf�YlYad`Y �XUbg�`Yg�cV`][Uh]cbg�]adcg�Yg�Uil��cd�fUhYifg�d’importance vitale ».

le transfert à une autre entreprise de certaines missions n’exonère pas pour autant automa-tiquement l’entreprise délégataire de sa res-ponsabilité, notamment quand elle conserve la maîtrise d’œuvre du dispositif concerné.

objectif

DfYbXfY�WcbgW]YbWY�ei»]`�Ygh�b�WYggU]fY�XY�j�f]Ã�Yf�Ù�WcbZcfa]h��Xi�D75�Yh�XYg�aYgifYg�dfcdcg�Yg�UjYW�`Yg�`c]g�Yh�f�[`YaYbhg��WcXY�Xi�hfUjU]` �WcXY�Xi�WcaaYfWY �WcXY�XY�Ù�X�ZYbgY �WcXY�W]j]` �WcXY�d�bU` �YhW"�"

:=7<9�27

aspects Juridiques associés À la Mise en Œuvre d’un pca


22 / article 121-3 du code pénal.

23 / articles l. 4121-1 à l. 4121-5 du code du travail.

24 / article l. 225-100 du code de commerce.

@Yl]eiY


les annexes

=`�Ygh�WcbgY]``��XY�Wcbgi`hYf�`Y�@Yl]eiY�ghfiWhif��XY�Ù�Wcbh]bi]h��X»UWh]j]h� �f�X][��dUf�`Y�7ìV�XY�Ù�7cbh]bi]h��X»5Wh]j]h� �ei]�dfcdcgY�ibY�`]ghY�XY�X�Ã�b]h]cbg�hf�g�Wcad`�hY"

Bcig�dfcdcgcbg�]W]�XY�Wcifhg�YlhfU]hg�XY�hYfa]bc`c[]Y�bcfaU`]g�Y"�

5BB9L9�1

leXique

8�Ã�b]h]cbg Références

GESTION DE LA CONTINUITÉ D’ACTIVITÉ

Gestion de la continuité d'activité

processus de management holistique qui identifie les menaces potentielles pour une

organisation ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir

sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire

Ù�f�g]`]YbWY�XY�`»cf[Ub]gUh]cb�UjYW�ibY�WUdUW]h��XY�f�dcbgY�YZÃ�WUWY�df�gYfjUbh�`Yg�]bh�f�hg�de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices

de valeurs.

=GC�&&'$%�.�&$%&�:�

Continuité d’activité Capacité de l’organisation à poursuivre la fourniture de produits ou la prestation de services à

XYg�b]jYUil�UWWYdhUV`Yg�Yh�df�UÙV`YaYbh�X�Ã�b]g�Udf�g�ib�]bW]XYbh�dYfhifVUhYif"=GC�&&'$%�.�&$%&�:�

Plan de continuité d’activité procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre

Yh�fYhfcijYf�ib�b]jYUi�XY�ZcbWh]cbbYaYbh�df�X�Ã�b]�{�Ù�gi]hY�X»ibY�dYfhifVUh]cb"=GC�&&'$%�.�&$%&�:�

Objectif minimal de continuité d’activité

niveau minimal de services et/ou de produits acceptables par l’organisation pour atteindre ses

objectifs métiers pendant une perturbation.=GC�&&'$%�.�&$%&�:�

Durée maximale d’interruption acceptable DMIA

HYadg�b�WYggU]fY�dcif�eiY�̀ Yg�]adUWhg�X�ZUjcfUV`Yg�dcijUbh�f�gi`hYf�XY�̀ U�bcb�Zcifb]hifY�X»ib�produit/service ou de la non réalisation d’une activité, deviennent inacceptables.

=GC�&&'$%�.�&$%&�:�

Perte de données maximale admissible PDMA

@U�dYfhY�aUl]aU`Y�XY�Xcbb�Yg��`]�Y�Uil�gUijY[UfXYg��dcif�eiY�WY``Y!W]�gc]h�X»ib�b]jYUi�acceptable par les services utilisateurs. par exemple, au démarrage après un sinistre, les

données peuvent dater de la veille au soir, du matin, ou du moment du sinistre, selon la

procédure de réplication/sauvegarde utilisée.

CCa/aFnor

GESTION DES RISQUES

Risque

effet de l’incertitude sur l’atteinte des objectifs

�Ib�YZZYh�Ygh�ib��WUfh �dcg]h]Z�Yh#ci�b�[Uh]Z �dUf�fUddcfh�{�ibY�UhhYbhY�"

7YhhY�X�Z]b]h]cb�U��h�� fYjiY� `cfg�Xi�X�jY`cddYaYbh�XY� Ù�bcfaY� =GC�'%$$$�.� &$$-�/��Y``Y�UVUbXcbbY� Ù�j]g]cb�XY� `»]b[�b]Yif��le risque est la combinaison de probabilité

d’événement et de sa conséquence�®��dcif�Wcid`Yf�`Yg�f]geiYg�Uil�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb�.�« le risque est l’effet de l’incertitude sur les objectifs ».

iso 73

Appréciation du risque 9bgYaV`Y�Xi�dfcWYggig�X»]XYbh]Ã�WUh]cb�XYg�f]geiYg �X»UbU`mgY�Xi�f]geiY�Yh�X»�jUìUh]cb�Xi�f]geiY" iso 73

Management du risque activités coordonnées dans le but de diriger et piloter une organisation vis-à-vis du risque. iso 73

Source de risque Hcih��`�aYbh�ei] �gYi`�ci�WcaV]b��{�X»UihfYg �df�gYbhY�ib�dchYbh]Y`�]bhf]bg�eiY�X»Yb[YbXfYf�un risque.

iso 73

Vulnérabilité propriétés intrinsèques de quelque chose entraînant une sensibilité à une source de risque

pouvant induire une conséquence.iso 73

Conséquences effet d’un événement affectant les objectifs. iso 73

Résilience Capacité d’adaptation d’un organisme dans un environnement complexe et changeant. iso 73

Attitude face au risque approche d’un organisme pour apprécier un risque avant, éventuellement, de saisir ou

préserver une opportunité ou de prendre ou rejeter un risque.iso 73

Goût du risque importance et type d’opportunité qu’un organisme est prêt à saisir ou à préserver ou de risque

qu’il est prêt à prendre.iso 73

Propriétaire du risque personne ou entité ayant la responsabilité du risque et ayant autorité pour le gérer. iso 73

les annexes

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

F�Z�fYbWYg 5BB9L9�2

Ce guide a vocation à poser les principes et

`Yg�f�[`Yg�X»�ÙVcfUh]cb�X»ib�D75 �gUbg�gY�giVgh]hiYf�Uil�X]ZZ�fYbhg�[i]XYg�ci�bcfaYg�Yl]ghUbh� gif� `Y� gi^Yh �aU]g� Yb� m� ZU]gUbh�f�Z�fYbWY"�Gcb�cV^YWh]Z �dUf�ibY�UddfcW\Y�volontairement globale, est d’apporter les

éléments de bonne pratique et de cohérence

nécessaires au dialogue entre les respon-

gUV`Yg�XYg�hfUjUil�X»�ÙVcfUh]cb�XY�D75�XY�X]ZZ�fYbhYg�cf[Ub]gUh]cbg �diV`]eiYg�ci�df]!j�Yg"�=`�g»UXfYggY�XcbW�Uil�UXa]b]ghfUh]cbg �Uil�Wc``YWh]j]h�g�Yh�Uil�YbhfYdf]gYg"

exemples de pertes de continuité d’activité : =bZcbYh]Wg�FYgYUfW\ �Ujf]`�&$$+ �k\]hY�

paper Û5HGXFLQJ� 'RZQWLPH� &RVWV� ZLWK�1HWZRUN�%DVHG�,36Û.

+D]DUGV�DQG�YXOQHUDELOLW\�LQ�PRGHUQ�VRFLH�WLHV�Õ�XVLQJ� WKH�H[DPSOH�RI�D� ODUJH�VFDOH�RXWDJH�LQ�WKH�HOHFWULFLW\�VXSSO\��7$%�UHSRUW�QR��%HUOLQ��SDJHV�http://www.tab-beim-bundestag.de/en/

publications/reports/ab141.html

:i_ig\]aU�fUddcfh�=FGB#8;#&$%&!$$%�"

enquêtes : HYbXUbWYg� acbX]U`Yg� Yb� aUh]�fY� XY�

résilience et de gestion du risque métier

�9bgY][bYaYbhg� XY� `»�hiXY� =6A� ;`cVU`�6ig]bYgg�FYg]`]YbWY�UbX�F]g_�GhiXm�&$%%�" FYdcfh�cb�h\Y�5WWYbhifY�&$%%�;`cVU`�F]g_�

Management Study.

vhiXY�&$%%�Xi�7F98��&HQWUH�IRU�5HVHDUFK�RQ�WKH�(SLGHPLRORJ\�RI�'LVDVWHUV).

D75�XUbg�̀ Y�gYWhYif�VUbWU]fY�Yh�Ã�bUbW]Yf�. Df]bW]dYg�X]fYWhYifg�Yb�aUh]�fY�XY�Wcbh]!

bi]h��X»UWh]j]h� �`Y�Zcfia�hf]dUfh]h� �Wca]h��XY�6|`Y�gif�̀ Y�Wcbhf�`Y�VUbWU]fY �Uc�h�&$$*" F�[`YaYbh�b��-+!$&�Xi�&%�Z�jf]Yf�%--+�fYÙ!

h]Z�Ui�Wcbhf�`Y�]bhYfbY�XYg��hUV`]ggYaYbhg�XY�crédit et des entreprises d’investissement

portant sur la réglementation prudentielle

des établissements de paiement.

F�[`YaYbh�b��-'!$)�Xi�&%�X�WYaVfY�%--'�fYÙh]Z�Ui�Wcbhf�`Y�XYg�[fUbXg�f]geiYg"

@Yg�X]gdcg]h]Zg�XY�[Ygh]cb�XYg�f]geiYg�Yh�XY�Wcbhf�`Y�]bhYfbY��5ihcf]h��XYg�aUfW\�g�Ã�bUbW]Yfg�" La directive MIF (0DUNHWV� LQ� )LQDQFLDO�,QVWUXPHQWV�'LUHFWLYH), publiée au�-RXUQDO�Rï��FLHO�GH�OØ8QLRQ�HXURS«HQQH le 30 avril 2004.

6ROYHQF\�,, pour le secteur des assurances.

gestion du risque pour les sociétés cotées : @Y�7CGC�Ygh� ib� f�Z�fYbh]Y`� XY� Wcbhf�`Y�

]bhYfbY�X�Ã�b]�dUf�`Y�&RPPLWWHH�2I�6SRQVRULQJ�2UJDQL]DWLRQV�RI�WKH�7UHDGZD\�&RPPLVVLRQ. Il

est utilisé notamment dans le cadre de la mise

en place des dispositions relevant des lois

@c]�GUfVUbYg!Cl`Ym �GCL�ci�@c]�XY�g�Wif]h��Ã�bUbW]�fY �@G: �dcif�`Yg�YbhfYdf]gYg�Uggi^Yh!h]Yg�fYgdYWh]jYaYbh�Uil�`c]g�Ua�f]WU]bYg�ci�ZfUb�U]gYg"�@Y�f�Z�fYbh]Y`�]b]h]U`�UddY`��7CGC�%�a évolué depuis 2002 vers un second corpus

X�bcaa��7CGC�&" @U�X]fYWh]jY�Yifcd�YbbY�&$$*#(*#79" @U�`c]�Xi�'�î]``Yh�&$$,�U�hfUbgdcg��WYhhY�

X]fYWh]jY�XUbg�`Y�Xfc]h�ZfUb�U]g�Yh�Wcad`�h� �dUf�Ù�a�aY �Ù�@c]�XY�G�Wif]h��:]bUbW]�fY�(LSF) du 1er août 2003. Il en est résulté une

acX]Ã�WUh]cb�XYg�Ufh]W`Yg�@"�&&)!'+�Yh�@"�&&)!*,�XY�WcXY�Xi�WcaaYfWY�ei]�U��hYbXi�`»cV^Yh�Xi�rapport du président sur les procédures de

Wcbhf�`Y�]bhYfbY�Uil�dfcW�XifYg�XY�[Ygh]cb�des risques mises en place par les sociétés

ZU]gUbh�UddY`�diV`]W�{�`»�dUf[bY"

méthodologies : 7ìV�XY�Wcbh]bi]h��X»UWh]j]h��.�@Yl]eiY�ghfiW!

hif��XY�̀ U�Wcbh]bi]h��X»UWh]j]h� �̀ ]jfY�VÙbW�b�% �version 2.0.

Club de continuité d’activité : Guide de bonnes

pratiques de la continuité d’activité à l’attention

des Directions des Ressources Humaines.

Club de continuité d’activité : Plan de

Continuité d’Activité & Gestion de Crise –

Fascicule pratique de la mise en place du travail

cWWUg]cbbY`�{�X]ghUbWY��HC58�" A]b]gh�fY�XY�̀ U�8�ZYbgY�.�;i]XY�8;G=7�b�$$(�

portant sur la rédaction des plans de continuité

d’activité (PCA) et plan de reprise d’activité

(PRA) 23/07/2010.

réFérences

page suivante


page 1/3

les annexes F�Z�fYbWYg 5BB9L9�2

A]b]gh�fY�XY�̀ U�8�ZYbgY�.�;i]XY�8;G=7�b�$$)�dispositions pratiques et techniques de conti-

bi]h��]bZcfaUh]eiY �%$#%&#&$%$" AcX�`Y�7AA=��ei]�dYfaYh�XY�WÙggYf�Yb�W]be�

b]jYUil�XY�aUhif]h��`Yg�dfUh]eiYg�XY�`»YbhfY!df]gY�/�dcif�UhhY]bXfY�W\UeiY��hU[Y �`»YbhfY!prise doit mener des actions d’amélioration

au niveau des processus clés.

A�h\cXYg�X»UbU`mgY�XY�X�ZU]`ÙbWY�Yh�XY�̀ Yifg�YZZYhg��5A897 �<577D �*�g][aU �YhW"�" La cartographie : un outil de gestion des

f]geiYg��5AF59�" @U� [Ygh]cb� XYg� f]geiYg�.� C`]j]Yf� <Ugg]X�

�8IBC8 �&$$,�" FYhcif�X»Yld�f]YbWY�Yh�aU�hf]gY�XYg�f]geiYg�.�

Jean-Luc Wybo et Wim Wassenhove (collec-

tion sciences du risque et du danger, édition

Lavoisier).

@U�a�h\cXY�XY�[Ygh]cb�XYg�f]geiYg�96=CG�kkk"gg]"[cij"Zf#. Le guide de l’intelligence économique,

délégation interministérielle à l’intelligence

économique (Hachette 2012), qui donne des

solutions de bonnes pratiques et un guide

d’autodiagnostic.

normalisation : Dfc^Yh�XY�[i]XY�=GC�+'�AUbU[YaYbh�Xi�f]geiY�

— Vocabulaire.

=GC#&&'$%�G�Wif]h��gcW]�hU`Y�·�;Ygh]cb�XY�Ù�Wcbh]bi]h��XYg�UZZU]fYg�·�9l][YbWYg" =GC#:8=G�'%$$$�AUbU[YaYbh�Xi�f]geiY�·�

Principes et lignes directrices.

=GC#=97�&+$$&�HYW\bc`c[]Yg�XY�̀ »]bZcfaUh]cb�— Techniques de sécurité — Code de bonne

pratique pour la gestion de la sécurité de

`»]bZcfaUh]cb" =GC�&*$$$�¶�fYgdcbgUV]`]h��gcW]�hU`Y�XYg�

organisations.

5:BCF�F�Z�fYbh]Y`�XY�VcbbYg�dfUh]eiYg �DÙb�de continuité d’activité (PCA), BP Z74-700,

11 avril 2011.

=F;7�f]g_�aUbU[YaYbh�ZfUaYkcf_"

obligations et guides de bonnes pratiques : Portail du Gouvernement pour la prévention

XYg�f]geiYg�aU^Yifg�kkk"f]geiYg"[cij"Zfwww.prim.net

Délégation interministérielle à l’Intelligence

�Wcbca]eiY��8&=9��kkk"]bhY``][YbWY!YWcbca]eiY"[cij"Zf

Agence nationale pour la sécurité des sys-

h�aYg�X»]bZcfaUh]cb�kkk"gg]"[cij"Zf#\hhd.##kkk"gYWif]hY!]bZcfaUh]eiY"[cij"Zf# @Y�<Uih�7ca]h��:fUb�U]g�XY�̀ U�8�ZYbgY�7]j]`Y�

(HCFDC) \hhdg�.##kkk"\WZXW"cf[#Uggc# Le Club de la continuité d’activité

http://www.clubpca.eu/

@U�jU`cf]gUh]cb�XYg�UWh]Zg�]aaUh�f]Y`�df�gYb!h�Y�dUf�`»CVgYfjUhc]fY�XY�`»]aaUh�f]Y`�http://www.observatoire-immateriel.com/

G]hY�X»]bZcfaUh]cb�\hhd.##kkk"]bZc!Wf]gYg"Zf# Plans de protection des risques (naturels,

hYW\b]eiYg �Ybj]fcbbYaYbhUil�" Le document unique d’évaluation des risques

8I9F �Wf��dUf�`Y�X�WfYh�b��&$$%!%$%*�Xi�)�novembre 2001, qui a transposé la directive

européenne sur la prévention des risques

dfcZYgg]cbbY`g" Circulaire DGT 2007/18 du 18 décembre

2007 relative à la continuité de l’activité des

YbhfYdf]gYg�Yh�Uil�WcbX]h]cbg�XY�hfUjU]`�Yh�d’emploi des salariés du secteur privé en cas

de pandémie grippale.

7]fWiÙ]fY�8;5:D�Xi�&*�Uc�h�&$$-�j]gUbh�{�assurer la continuité du service public dans

les administrations de l’État et des collecti-

vités locales en cas de pandémie grippale.

Code du travail article L. 4121-1 « L’employeur

prend les mesures nécessaires pour assurer

la sécurité et protéger la santé physique et

mentale des travailleurs. Ces mesures com-

dfYbbYbh�.�%��8Yg�UWh]cbg�XY�df�jYbh]cb�XYg�f]geiYg�dfcZYgg]cbbY`g�Yh�XY�Ù�d�b]V]`]h��Ui�hfUjU]`�/�&��8Yg�UWh]cbg�X»]bZcfaUh]cb�Yh�XY�ZcfaUh]cb�/�'��@U�a]gY�Yb�dÙWY�X»ibY�cf[U!nisation et de moyens adaptés. L’employeur

veille à l’adaptation de ces mesures pour tenir

compte du changement des circonstances

et tendre à l’amélioration des situations

Yl]ghUbhYg�®" Code du travail article R. 4121-1

�@»Yad`cmYif�hfUbgWf]h�Yh�aYh�{�̂ cif�XUbg�ib�document unique les résultats de l’évaluation

des risques pour la santé et la sécurité des

hfUjU]``Yifg�{�ÙeiY``Y�]`�dfcW�XY�Yb�Udd`]WU!tion de l’article L. 4121-3.Cette évaluation

WcadcfhY�ib�]bjYbhU]fY�XYg�f]geiYg�]XYbh]Ã��g�dans chaque unité de travail de l’entreprise

ou de l’établissement (…) » et art. R.4741-1.

�@Y�ZU]h�XY�bY�dUg�hfUbgWf]fY�ci�XY�bY�dUg�aYhhfY�{�^cif�`Yg�f�gi`hUhg�XY�`»�jUìUh]cb�

page 2/3


page suivante

les annexes F�Z�fYbWYg 5BB9L9�2

XYg�f]geiYg �XUbg�̀ Yg�WcbX]h]cbg�df�jiYg�Uil�articles R. 4121-1 et R 4121-2, est puni de

l‘amende prévue pour les contraventions de

5e classe ».

7cXY�Xi�hfUjU]`�Ufh]W`Y�@"�%&&&!%%��9b�WUg�XY�W]fWcbghUbWYg�YlWYdh]cbbY``Yg �bchUaaYbh�XY�aYbUWY�X»�d]X�a]Y �ci�Yb�WUg�XY�ZcfWY�aU^YifY �̀ U�a]gY�Yb�µijfY�Xi�h�`�hfUjU]`�dYih�être considérée comme un aménagement du

poste de travail rendu nécessaire pour per-

mettre la continuité de l’activité de l’entre-

prise et garantir la protection des salariés.

Les conditions et les modalités d’application

Xi�df�gYbh�Ufh]W`Y�gcbh�X�Ã�b]Yg�dUf�X�WfYh�Yb�Conseil d’État ».

@Y�X]gdcg]h]Z�XY�g�Wif]h��XYg�UWh]j]h�g�X»]a!dcfhUbWY�j]hU`Y�gY`cb�`Y�WcXY�XY�Ù�X�ZYbgY�(notamment ses articles R. 1332-1 à R. 1332-

(& �df]g�gif�`Y�ZcbXYaYbh�XY�gYg�Ufh]W`Yg�@"�1332-1 à L. 1332-7), constitue le cadre per-

mettant d’associer les opérateurs, publics

ci�df]j�g �Ui�gmgh�aY�bUh]cbU`�XY�dfchYWh]cb�contre le terrorisme, d’analyser les risques

et d’appliquer les mesures de leur niveau en

cohérence avec les décisions des pouvoirs

publics.

G�Wif]h�� XYg� hfUbgdcfhg� �C95 � 7!HD5H �Megaport, CSI, ISPS, ADR…).

9l][YbWYg�gd�W]Ã�eiYg�{�̀ »UWh]j]h��G9J9GC �HA8 �F957< �Fc<G¯�" Article L. 225-100 du code de commerce « Le

rapport [présenté en assemblée générale des

sociétés anonymes] comporte également une

XYgWf]dh]cb�XYg�df]bW]dUil�f]geiYg�Yh�]bWYf!h]hiXYg�UileiY`g�Ù�gcW]�h��Ygh�WcbZfcbh�Y�®" Code civil, notamment l’article 1382 « Tout

ZU]h�eiY`WcbeiY�XY�`»\caaY �ei]�WUigY�{�Uihfi]�ib�XcaaU[Y �cV`][Y�WYì]�dUf�̀ U�ZUihY�duquel il est arrivé, à le réparer ».

Code pénal, code de commerce, etc.

page 3/3

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4


les annexes Fiche guide synthétique pour l’autoévaluation des bonnes pratiques 5BB9L9�3

Fiche guide sYnthétiquepour l’auto-évaluationdes Bonnes pratiques

page 1/2

page suivante


ETAPES ET ACTIONS OUI NON OBSERVATIONS

%"��8�Ã�b]h]cb�Xi�WcbhYlhY �]XYbh]Ã�WUh]cb�XYg�cV^YWh]Zg�Yh�XYg�UWh]j]h�g�YggYbh]Y``Yg"

1.1. la direction est-elle fortement impliquée ?

1.2. un chef de projet doté des compétences, de l’autorité et de l’autonomie nécessaires

a-t-il été nommé ?

1.3. le contexte et le périmètre de pCa ont-ils été précisés ?

%"("�@Yg�cV^YWh]Zg �̀ Yg�UWh]j]h�g�YggYbh]Y``Yg �̀ Yg�Ä�il�Yh�̀ Yg�fYggcifWYg�Wf]h]eiYg�cbh!]`g��h��]XYbh]Ã��g�3

1.5. les processus de l’organisation ont-ils été cartographiés ?

%"*"�@Yg�Ä�il�YbhfY�`Yg�gmgh�aYg�X»]bZcfaUh]cb�giddcfhUbh�`Yg�dfcWYggig�cbh!]`g��h��WUfhc[fUd\]�g�3�

2. Déterminer les attentes de sécurité pour tenir les objectifs.

&"%"��@Yg�gmgh�aYg�XY�h�`�d\cb]Y �gYfjYifg�XY�Ã�W\]Yfg�Yh�aYggU[Yf]Y�cbh!]`g��h��]bh�[f�g�dans les systèmes critiques de l’organisation ?

2.2. les ressources critiques « dures » ont-elles été prises en compte ?

2.3. les ressources immatérielles ont-elles été prises en compte ?

2.4. les niveaux de fonctionnement en mode dégradé sont-ils explicités ? ont-ils été validés

Yb�`]U]gcb�UjYW�`Y�g��W`]Ybh�g��®�3

2.5. les niveaux dégradés de prestations des fournisseurs ont-ils été pris en compte ?

2.6. l’échelle de mesure des conséquences d’interruption validée avec les responsables

est-elle identique pour tous les processus ?

'"�=XYbh]Ã�Yf �UbU`mgYf ��jUìYf�Yh�hfU]hYf�`Yg�f]geiYg"

'"%"�G]�ibY�UbU`mgY�XY�f]geiYg�df�Yl]ghU]h �U!h!Y``Y��h��fYdf]gY�dcif�Yb�j�f]Ã�Yf�Ù�dYfh]bYbWY�3�

'"&"��@»UbU`mgY�XYg�f]geiYg�U!h!Y``Y�dYfa]g�X»]XYbh]Ã�Yf�WYil�WcbhfY�`YgeiY`g�]`�Ygh�df]cf]hU]fY�de se protéger ?

3.3. le pCa global repend-t-il en autant de composantes les scénarios de risques retenus ?

3.4. le pCa prend-t-il en compte les risques opérationnels pour lesquels l’interruption

d’activité résulte de la perte de ressources critiques ?

3.5. les partenaires des secteurs publics et privés susceptibles d’être concernés par les

gW�bUf]cg�cbh!]`g��h��]XYbh]Ã��g�3�

3.6. les interdépendances et les effets en cascade ont-ils été pris en compte ?

("�8�Ã�b]f�Ù�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�"

4.1. les objectifs de continuité sont-ils cohérents avec ceux de l’organisation, mesurables,

et tiennent-ils compte des ressources nécessaires ?

4.2. les objectifs de continuité en mode dégradé et pour la reprise d’activité sont-ils cohérents

avec les scénarios de risques retenus ?

4.3. l’ordre de priorité des procédures, des ressources, de la reprise et du basculement

dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil�Ygh!]`�]XYbh]Ã��3

4.4. les exigences vis-à-vis des « partenaires » ont-elles été prises en compte de manière réciproque ?

(")"�@Yg�gYfj]WYg�XY�`»vhUh�Yh�`Yg�cf[Ub]gUh]cbg�dUfhYbU]fYg�Xi�D75�gcbh!]`g�]XYbh]Ã��g�Yh�Wcbbig�3

4.6. la stratégie a-t-elle été validée par la direction ?


5. Mettre en œuvre et assurer l’appropriation du plan

5.1. les actions de communication inhérentes au lancement, à l’appropriation et à la mise en

œuvre du pCa ont-elles été prévues ?

5.2. les mesures à mettre en œuvre et les procédures associées sont-elles simples et accessibles ?

5.3. les dispositifs, moyens et ressources nécessaires à la mise en œuvre du pCa sont-ils

disponibles et/ou en place ?

5.4. les personnels responsables sont-ils désignés, informés et formés aux procédures prévues

dans le pCa ?

)")"��@Yg�]bX]WUhYifg �`Yg�X]gdcg]h]Zg�]h�fUh]Zg�XY�j�f]Ã�WUh]cb �Wcbhf�`Yg �YlYfW]WYg�Yh��jc`ih]cb�Xi�d`Ub�gcbh!]`g�Wcb�ig�Yh�X�W`]b�g�3�

5.6. les procédures de sauvegarde/récupération et les moyens critiques du pCa seront-ils

Wcbhf�`�g�d�f]cX]eiYaYbh�3

les annexes Fiche guide synthétique pour l’autoévaluation des bonnes pratiques 5BB9L9�3page 2/2

les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

les annexes Fiche guide d’analyse et d’évaluation des risques pour une situation donnée 5BB9L9�4

Fiche modÈle d’analYseet d’évaluation des risques pour une situation donnée

page 1/2

page suivante


1. évaluation du risque (naturel, accidentel, terroriste…) ou de la situation retenue

Catégorie Sous catégorie

HYad�fUhifY�Ylhf�aY��H9� Grand froid

Périmètre pris en compte �@U�WUfUWh�f]gUh]cb�X»ib�f]geiY�dYih�b�WYgg]hYf�XY�X�Ã�b]f�gcb�d�f]a�hfY�X»Udd`]WUh]cb"�DUf�exemple une inondation peut concerner une faible étendue

ci�ibY�jUghY��hYbXiY"�

Référence du risque �@U�f�Z�fYbWY�gYfU�X�Ã�b]Y�XUbg�`Y�XcWiaYbh�XY�gmbh\�gY�

local et national H9�%

Date de rédaction Date de révision

Janvier 2013 Janvier 2015

Description générale du risque��Zcifb]f�`Yg�Xcbb�Yg�[�b�fU`Yg�XY�XYgWf]dh]cb�Xi�f]geiY� La plupart des causes….

@Yg�d\�bca�bYg¯ Danger à cinétique lente, rapide, à impact local, régional…

Évolution historique �Zcifb]f�̀ Yg�Xcbb�Yg�\]ghcf]eiYg�dcif�Uddf�W]Yf�̀ U�dfcVUV]`]h��X»cWWiffYbWY�et souligner une éventuelle évolution)

&$LL ------------------------

%-LL ------------------------

Prospective 2015 �hYbXUbWYg�Yh�dYfgdYWh]jYg�.�Zcifb]f�`Yg�hYbXUbWYg�`cifXYg�WcbWYfbUbh�`»�jc!ìh]cb�Xi�f]geiY�ci�XY�Ù�g]hiUh]cb�fYhYbiY"�DUf�YlYad`Y�dcif�`Yg�hYad�fUhifYg�Ylhf�aYg �cb�g»UhhYbX�bcb�dUg�{�ibY�Ui[aYbhUh]cb�gYbg]V`Y�XY�̀ Yif�bcaVfY�aU]g�dìh�h�{�ibY�]bhYbg]Ã�WUh]cb�Xi�d\�bca�bY�`]�Y�Uil�Wcbg�eiYbWYg�Xi�W\Ub[YaYbh�W`]aUh]eiY�

Tendances et évolution pour le danger ou la crise

Scénarios de dégradation naturelle des phénomènes �=XYbh]Ã�Yf�XYg�gW�bUf]cg�dcgg]V`Yg�Yb�ZcbWh]cb�XY�`»�jcìh]cb�dfcVUV`Y�Xi�f]geiY�ci�XY�Ù�g]hiUh]cb�

2. probabilité ou vraisemblance de la situation retenue

Situation Périmètre pris en compte Probabilité

HYad�fUhifY�Ylhf�aY��H9� nationale 1

HYad�fUhifY�Ylhf�aY��H9� locale 5

les annexes Fiche guide d’analyse et d’évaluation des risques pour une situation donnée 5BB9L9�4page 2/2

3. impact (synthèse de l’analyse)

Situation Périmètre pris en compte Impact

HYad�fUhifY�Ylhf�aY��H9� national 1

HYad�fUhifY�Ylhf�aY��H9� local 2

Détail des impacts

Niveau moyen de l’impact

Types d’impact Sous critères Valeur de l’impact par sous critères et commentaires éventuels

Mineur 2

Humain1.1 nombre de morts

1.2 nombre de blessés

1

2

Social2.1 nombre de personnes

2.2 effet psychologique

2

2

Financier 3.1 Coût global 2

Contractuel 4.1 incidences sur les engagements 2

Cd�fUh]cbbY` 5.1 effets directs

)"&�8�Ã�W]YbWY�XYg�gcig!hfU]hUbhg3

3

9bj]fcbbYaYbh 6.1 impact environnemental 1

Image 7.1 impact sur la réputation 1

Juridique8.1 responsabilité civile ou pénale

8.2 obligations réglementaires

1

1

Vulnérabilité et résilience Éléments d’appréciation sur la vulnérabilité et la résilience du secteur et des personnes

concernées

4. évaluation globale

Situation retenue Sous catégorie

HYad�fUhifY�Ylhf�aY Grand froid

Périmètre Impact Probabilité ou vraisemblance Cotation du risque

nationale 1 1 1

locale 2 5 7

8]gdcg]h]Z�XY�d`Ub]Ã�WUh]cb��¯""

Gestion de crise (préciser les capacités existantes ou à acquérir)��¯""


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

les annexes :]W\Y�[i]XY�XY�F9H9L 5BB9L9�5

Pour chacune des étapes suivantes, décrire les

ZU]hg �`Yg�dfcV`�aYg�fYbWcbhf�g �`Yg�gcìh]cbg�utilisées pour les résoudre :

caractéristique de l’événement : Caractéristique de l’incident initial.

Facteurs aggravants.

Cinétique.

D�f]a�hfY" 5Wh]j]h�g�UZZYWh�Yg�Yh�WUfUWh�f]gh]eiYg��Xmg!

ZcbWh]cbbYaYbh�ci�Uff�h �Xif�Y�" D\�bca�bYg�Yb�WUgWUXY"

alertes : Détection de signes précurseurs.

Analyse.

Alerte.

Mobilisation.

Décision d’activation de la cellule de crise

(délais).

gestion de crise : Délais de mise en œuvre.

Fonctionnement.

Acteurs.

Connaissance de la situation.

Anticipation.

Décisions.

Coordination.

Communication.

�DÙb]Ã�WUh]cb�XY�Ù�a]gY�Yb�µijfY�Xi�D75�. 5Wh]j]h�g�UZZYWh�Yg" DfcWYggig�UZZYWh�g�Yh�fYggcifWYg�dYfXiYg" 9l]ghYbWY�XY�dÙb�X]gdcb]V`Y�Yh�UXUdh��{�Ù�

situation.

6cbbY�a]gY�{�^cif�Xi�dÙb" Connaissance du plan.

7Ùfh��Yh�ZUW]`]h��XY�a]gY�Yb�µijfY�Xi�dÙb" :cbWh]cbbYaYbh�Xi�X]gdcg]h]Z�X»Uddi] �XY�

`»YldYfh]gY�a�h]Yf�Yh�dfcWYggig"

mise en œuvre du pca : Bonne évaluation de la situation et de son

évolution.

Décisions connues.

Pertinence des décisions.

Mise en œuvre des procédures.

Disponibilité des ressources pour mettre en

œuvre le PCA.

FYgdYWh�XYg�X�Ù]g��8A=5�dcif�̀ Yg�X]ZZ�fYbhg�acXYg�X�[fUX�g�Yh�`Yg�X]ZZ�fYbhYg�UWh]j]h�g�YggYbh]Y``Yg�UZZYWh�Yg�" 9ZÃ�WUW]h��Xi�D75"

implication des parties prenantes : Consultation des parties prenantes internes.

Dialogue avec les services de l’État.

7cbgi`hUh]cb�XYg�Zcifb]ggYifg �XYg�W`]Ybhg"

respect des obligations : 5gdYWhg�îf]X]eiYg"� Réglementation.

communication associée au pca : Communication interne.

Communication avec les partenaires.

Communication avec le public.

Pertinence des messages.

Réaction des médias.

circulation de l’information : =bZcfaUh]cb�giZÃ�gUbhY"� =bZcfaUh]cb�ih]`Y" 6cbbY�fYacbh�Y�XY�`»]bZcfaUh]cb�hYffU]b" DfcV`�aYg� hYW\b]eiYg� �acmYbg� XY�

transmission).

HfU�UV]`]h��XY�`»]bZcfaUh]cb" 6cbbY�Wcaaib]WUh]cb�YbhfY�`Yg�X]ZZ�fYbhYg�

entités.

Constatation d’incohérences dans les

]bZcfaUh]cbg" 7cbbU]ggUbWY�Xi�b]jYUi�XY�ZcbWh]cbbYaYbh�

des activités essentielles.

Connaissance du niveau de perte des res-

sources critiques.

Connaissance de l’impact sur les partenaires

YlhYfbYg"

gestion du pca : Maîtrise de la situation.

Utilisation des indicateurs pertinents.

7Ùfh��XYg�f�`Yg�XYg�X]ZZ�fYbhg�UWhYifg" Contribution des correspondants du PCA.

Fiche modÈle de reteX

page suivante


page 1/2

les annexes :]W\Y�[i]XY�XY�F9H9L 5BB9L9�5

F�`Y�Xi�fYgdcbgUV`Y�Xi�D75" 6cbbY�Wccd�fUh]cb�XYg�X]ZZ�fYbhg�gYfj]WYg" Bonne gestion de la cinétique.

Régularité des points de situation en cohé-

rence avec la cinétique des événements.

Bonne utilisation des outils (points de non

retour, point de décision...).

HfU�UV]`]h��XYg�X�W]g]cbg" 8]ZÃ�Wi`h�g�XY�̀ Ub[U[Y��jcWUVi`U]fY�hYW\b]eiY�"

Fonctionnement du pca : 5Wh]jUh]cb�WcbZcfaY�Uil�X�W]g]cbg" 9ZÃ�WUW]h��XYg�dfcW�XifYg" 6cb�ZcbWh]cbbYaYbh�XYg�acXYg�dU``]Uh]Zg�Yh�

de secours.

Actions rapides et dans les temps impartis

XYg�X]ZZ�fYbhg�UWhYifg" 8]ZÃ�Wi`h�g�hYW\b]eiYg�fYbWcbhf�Yg" B]jYUil�XY�gYfj]WYg"

gestion des ressources : Conditions de travail.

Disponibilité des ressources pour mettre en

œuvre le PCA.

Bon suivi de l’engagement des ressources.

Bonne utilisation des ressources nécessaires

pour le PCA.

:cbWh]cbbYaYbh�XYg�acmYbg�YlhYfbYg" FY`Uh]cbg�UjYW�`Yg�Zcifb]ggYifg�Yh�

sous-traitants.

gestion du retour à la normale : Anticipation.

Décisions au bon moment.

Disponibilité des ressources nécessaires.

Reprise des données.

Respect des délais.

7ccd�fUh]cbg�UjYW�̀ Yg�W`]Ybhg�Yh�Zcifb]ggYifg" 6cbbY�[Ygh]cb�XYg�U]XYg�Ã�bUbW]�fYg�Yh�XYg�

assureurs.

conclusions : Dc]bhg�dcg]h]Zg" Dc]bhg�b�[Uh]Zg" DfcV`�aYg�fYbWcbhf�g" 5lYg�X»Ua�`]cfUh]cb�WcbWYfbUbh�.

- Le PCA.

- @U�ZcfaUh]cb"- La préparation.

- Les relations avec les parties prenantes

YlhYfbYg"

page 2/2


les

Fich

es p

rati

qu

espo

urq

uo

i éla

bore

r u

n p

lan

de

con

tin

uit

é d

’act

ivit

é ?

com

men

t él

abo

rer

un

pla

n d

e co

nti

nu

ité

d’a

ctiv

ité

?le

s an

neX

es

1

2

3

4

notes


___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

___________________________________________________________________________________________________________________

)% �Vci`YjUfX�XY�̀ U�Hcif!AUiVcif[75700 paris 07 sp

H�`"�.�$%�+%�+)�,%�,':Ul�.�$%�+%�+)�,&�$$

SECRÉTARIAT GÉNÉRALDE LA DÉFENSE ET DELA SÉCURITÉ NATIONALE

guide pca sgdsn 120613 web

Documents