guide pca sgdsn 120613 web
TRANSCRIPT
Guide
pour réaliser un
plan de continuitéd’activité
Premier ministre
édition 2013
conception / secrétariat général de la défense et de la sécurité nationale
remerciement à aCCess2s - alain Coursaget
réalisation graphique�#�9:=@�$&�(+�(+�$'�&$�#�kkk"YÃ`"Zf
1Guide pour réaliser un plan de continuité d’activité
pourquoi élaborer un plan de continuité d’activité ?
1.1 Quelques bonnes raisons d’entreprende une démarche
de continuité d’activité 03
1.2 Qu’est-ce qu’un PCA ? 04
1.3 L’ambition de ce guide 05
1
la démarche présentéepar étapes
comment élaborer un plan de continuité d’activité ?
2.1 Le contenu du PCA 06
2.2 L’organisation requise 07
2.3 La méthode d’élaboration du PCA 08
2.3.1 8�Ã�b]f�̀ Y�WcbhYlhY�Yh�̀ Yg�cV^YWh]Zg�XY�̀ »cf[Ub]gUh]cb�� $, 2.3.2 =XYbh]Ã�Yf�Yh�ZcfaU`]gYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��� $- 2.3.3 =XYbh]Ã�Yf�Yh�[�fYf�̀ Yg�f]geiYg�df]cf]hU]fYg�� $- 2.3.4 Choisir les scénarios à prendre en compte 10
2.3.5 Formaliser les moyens et procédures 10
2.3.6 8�Ã�b]f�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��� %& 2.3.7 Gd�W]Ã�Yf�̀ Yg�dfcW�XifYg�XY�[Ygh]cb�XY�Wf]gY� et de communication 13
2.3.8 Rédiger le plan de continuité et la documentation associée 13
2.3.9 Assurer la capacité de mise en œuvre du plan 13
2.3.10 :U]fY��jc`iYf�̀ Y�d`Ub�.�YlYfW]WYg�Yh�fYhcifg�X»Yld�f]YbWY�� %(
2
les fiches pratiques
Fiche 1 Comment lancer une démarche de PCA ? 18
Fiche 2 :U]fY�̀ Y�W\c]l�X»ibY�X�aUfW\Y�Wcad`�hY�ci�g]ad`]Ã�Y�� %-Fiche 3 8�Ãb]f�̀ Y�d�f]a�hfY�Xi�D75� &$Fiche 4 =XYbh]ÃYf�̀ Yg�cV^YWh]Zg�Yh�̀ Yg�UWh]j]h�g�YggYbh]Y``Yg�� &%Fiche 5 7Ufhc[fUd\]Yf�̀ Yg�dfcWYggig�Yh�̀ Yg�Äil�Yh�X�Ãb]f�̀ Yif�Wf]h]W]h��� &&Fiche 6 =XYbh]ÃYf�Yh�ZcfaU`]gYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��� &'Fiche 7 =XYbh]ÃYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�̀ Yg�fYggcifWYg�Wf]h]eiYg�� &)Fiche 8 Mesurer les conséquences d’une interruption de service 27
Fiche 9 @U�X�aUfW\Y�XY�[Ygh]cb�Xi�f]geiY�dcif�̀ Yg�UWh]j]h�g�YggYbh]Y``Yg�� &-Fiche 10 =XYbh]ÃYf�̀ Yg�f]geiYg� '$Fiche 11 Analyser et caractériser les risques 32
Fiche 12 Évaluer les risques 34
Fiche 13 HfU]hYf �hfUbgZ�fYf ��j]hYf�ci�UWWYdhYf�̀ Yg�f]geiYg�]XYbh]Ã�g�� '*Fiche 14 Quels scénarios de risques prendre en compte ? 37
Fiche 15 8�Ãb]f�̀ Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX������������������������Yh�dcif�̀ U�fYdf]gY�X»UWh]j]h��� '-Fiche 16 8�Ãb]f�̀ Yg�Yl][YbWYg�dcif�̀ Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75�� (&Fiche 17 8�Ãb]f�̀ Yg�Yl][YbWYg�j]g!{!j]g�XYg�dUfhYbU]fYg�� ()Fiche 18 @Yg�fY`Uh]cbg�UjYW�̀ Yg�gYfj]WYg�XY�̀ »vhUh�� (-Fiche 19 Le bilan coût/avantage d’un PCA. Comment arbitrer ? 51
Fiche 20 8�Ãb]f�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h��� )'Fiche 21 La mise en œuvre des moyens nécessaires au PCA 54
Fiche 22 Processus de gestion de crise et PCA 55
Fiche 23 Quand et comment déclencher le PCA ? 58
Fiche 24 PCA et communication de crise 61
Fiche 25 @Yg�]bX]WUhYifg�X»YZÃW]YbWY�Xi�D75�� *&Fiche 26 Le maintien en condition opérationnelle du PCA 63
Fiche 27 5gdYWhg�̂ if]X]eiYg�UggcW]�g�{�̀ U�a]gY�Yb�µijfY�X»ib�D75�� *)
les annexes
annexe 1 @Yl]eiY�� **annexe 2 F�Z�fYbWYg�� *+annexe 3 Fiche guide synthétique pour l’auto-évaluation des bonnes pratiques 70
annexe 4 :]W\Y�acX�`Y�X»UbU`mgY�Yh�X»�jU`iUh]cb�XYg�f]geiYg� pour une situation donnée 72
annexe 5 :]W\Y�acX�`Y�XY�F9H9L�� +(
3
4
2Guide pour réaliser un plan de continuité d’activité
3Guide pour réaliser un plan de continuité d’activité
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?co
mm
ent
élab
ore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
les
Fich
es p
rati
qu
esle
s an
neX
es
1
2
3
4
pourquoi élaborer un plan de continuité d’activité ?
�@U�bUhifY �̀ U�Zf�eiYbWY�Yh�̀ Y�Wc�h�XYg�Wf]gYg�ont sensiblement évolué au cours des vingt
XYfb]�fYg�Ubb�Yg"�Cb�WcadfYbX�gUbg�XcihY�a]Yil�Ui^cifX»\i]�{�eiY`�dc]bh�gcbh��hfc]!hYaYbh�]aVf]ei�Yg�`Yg�X]ZZ�fYbhYg�X]aYb!g]cbg�XY�WYg��j�bYaYbhg�ei]�dYfhifVYbh�hf�g�ZcfhY�aYbh�`Y�ZcbWh]cbbYaYbh�XY�bcaVfYigYg�organisations, publiques et privées, avec
XYg�Wcbg�eiYbWYg�U``Ubh�^igei»{�`U�WYggUh]cb�X�Ã�b]�h]jY�X»UWh]j]h�"�@Yg�fYhcifg�X»Yld�f]YbWY�des grandes crises récentes montrent que les
organisations ayant entrepris une démarche
préalable visant à garantir la continuité de
`Yif�UWh]j]h��gcbh�`Yg�d`ig�f�g]`]YbhYg�ZUWY�Uil�événements déstabilisants.
Bien qu’il soit utopique de chercher à tout
prévoir et maîtriser, le responsable d’une
organisation – publique ou privée – se doit
de concevoir et mettre en œuvre des straté-
gies de protection permettant d’éviter certains
événements, ou tout du moins d’en limiter
11.1 quelques bonnes raisons d’entreprendre une démarche
de continuité d’activité
1.1 la démarche présentée par étapes Pourquoi élaborer un plan de continuité d’activité ?
quelques bonnes raisons d’entreprendre une démarche de continuité d’activité
principauX chocs mondiauX
70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 00 02 04 06 08 10
Pertes dues aux catastrophes mondiales 1970-2010 (Source : Swiss Re, Guy Carpenter & Company LLC).
100
80
60
40
20
0
Catastrophes naturelles
Catastrophes d’origine humaine
Moyenne mobile sur 10 ans
Mill
iard
s de
dol
lars
am
éric
ains
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
4Guide pour réaliser un plan de continuité d’activité
la démarche présentée par étapes Pourquoi élaborer un plan de continuité d’activité ?
qu’est-ce qu’un pca ?
@U�[Ygh]cb�XY�̀ U�Wcbh]bi]h��X»UWh]j]h��Ygh�X�Ãb]Y1
comme un « processus de management holis-
h]eiY�ei]�]XYbh]ÃY�̀ Yg�aYbUWYg�dchYbh]Y``Yg�dcif�une organisation, ainsi que les impacts que
ces menaces, si elles se concrétisent, peuvent
avoir sur les opérations liées à l’activité de
`»cf[Ub]gUh]cb �Yh�ei]�Zcifb]h�ib�WUXfY�dcif�construire la résilience de l’organisation, avec
ibY�WUdUW]h��XY�f�dcbgY�YZÃWUWY�df�gYfjUbh�̀ Yg�intérêts de ses principales parties prenantes,
sa réputation, sa marque et ses activités pro-
ductrices de valeurs».
Un plan de continuité d’activité (PCA) a par
Wcbg�eiYbh�dcif�cV^Yh�XY�X�W`]bYf�̀ U�ghfUh�[]Y�et l’ensemble des dispositions qui sont prévues
pour garantir à une organisation la reprise et
la continuité de ses activités à la suite d’un
sinistre ou d’un événement perturbant gra-
jYaYbh�gcb�ZcbWh]cbbYaYbh�bcfaU`"�=`�Xc]h�
permettre à l’organisation de répondre à ses
cV`][Uh]cbg�YlhYfbYg��`�[]g`Uh]jYg�ci�f�[`Y-
mentaires, contractuelles) ou internes (risque
de perte de marché, survie de l’entreprise,
]aU[Y¯��Yh�XY�hYb]f�gYg�cV^YWh]Zg"
@Y�f�[`YaYbh�b��-+!$&�Xi�7ca]h��XY�`U�f�[`Y-
aYbhUh]cb�VUbWU]fY�Yh�ÃbUbW]�fY�Xi�&%�Z�jf]Yf�%--+�fY`Uh]Z�Ui�Wcbhf�`Y�]bhYfbY�XYg��hUV`]ggY-
ments de crédit et des entreprises d’investis-
gYaYbh�XcbbY�`U�X�Ãb]h]cb�gi]jUbhY�.�le PCA représente l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise d`Ub]Ã�Y�XYg�UWh]j]h�g"
1.2 qu’est-ce qu’un pca ?
`Yg�YZZYhg�X]fYWhg�gif�`Yg�cV^YWh]Zg�XY�`»cf[U-
nisation, et d’assurer la continuité d’activité
malgré la perte de ressources critiques. Cet
]ad�fUh]Z�WcbX]h]cbbY�`U�g]hiUh]cb�ÃbUbW]�fY�de l’organisation, son image dans la société
et naturellement la responsabilité personnelle
du dirigeant. Les établissements de crédit, les
entreprises d’investissement, les établisse-
ments de santé, les opérateurs d’importance
j]hU`Y�Xc]jYbh�X�^{�f�dcbXfY�{�`»cV`][Uh]cb�légale de plan de continuité d’activité.
Les contraintes économiques imposent de
XYjc]f�^igh]ÃYf�`Yg�X�dYbgYg�!�m�Wcadf]g�WY``Yg�
qui concernent les actions à entreprendre dans
le domaine de la sécurité - et de pouvoir priori-
ser ces dépenses dans le cadre d’une stratégie
[`cVU`Y"�=`�ZUih�dUf�Wcbg�eiYbh�X]gdcgYf�X»ci-
tils méthodologiques permettant d’optimiser
`»YZÃW]YbWY�XY�WYg�UWh]cbg �Yb�Wc\�fYbWY�UjYW�`Yg�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb"�8Yg�cih]`g�Yl]g-
hYbh�X�^{�dcif�Wcijf]f�g�dUf�aYbh�d`ig]Yifg�domaines indissociables : la gestion de risque,
la gestion de crise, l’intervention, le maintien et
la reprise d’activité. La démarche de continuité
X»UWh]j]h��Ygh�`Y�acmYb�X»UggcW]Yf�XY�aUb]�fY�globale et cohérente tous ces domaines.
%�#�8�Ãb]h]cb�XY�`U�bcfaY�=GC�&&'$%�.�&$%&�:�"
1.2
5Guide pour réaliser un plan de continuité d’activité
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?co
mm
ent
élab
ore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
les
Fich
es p
rati
qu
esle
s an
neX
es
1
2
3
4
la démarche méthodologique permettant l’éla-boration concrète d’un pca est l’objet principal de ce guide destiné aux organismes relevant de l’état, aux collectivités territoriales ainsi qu’aux entreprises. IbY�Zc]g��`UVcf� �`Y�D75�fY[fcidY�`Yg�dfcW�!dures documentées qui vont servir de guide
{� `»cf[Ub]gUh]cb�UZ]b�XY� `i]�dYfaYhhfY�XY�répondre, rétablir, reprendre et retrouver un
b]jYUi�XY�ZcbWh]cbbYaYbh�df�X�Ã�b]�{�̀ U�gi]hY�d’une perturbation importante.
@Y�[i]XY�U��[U`YaYbh�dcif�UaV]h]cb�XY�ZUW]!liter une telle démarche, par la délivrance
XY�WcbgY]`g�a�h\cXc`c[]eiYg�Yh�`U�X]ZZig]cb�de bonnes pratiques. Dans une perspective
concurrentielle, il peut aussi constituer une
U]XY�{�`U�df�dUfUh]cb�X»ib��jYbhiY`�dfc^Yh�XY�WYfh]Ã�WUh]cb"�
Df�gYbhUbh�Vf]�jYaYbh�̀ Y�f�`Y�XYg�gYfj]WYg�XY�l’État en appui des acteurs de la société civile,
`Y�XcWiaYbh�ZU]h�f�[i`]�fYaYbh�f�Z�fYbWY�{�ib�jcWUVi`U]fY�bcfaU`]g��ei]�Wcbhf]ViY�{�ZUW]`]hYf�le dialogue entre les organisations, notamment
XUbg�̀ Yifg�fY`Uh]cbg�W`]Ybhg#Zcifb]ggYifg �UÃ�b�XY�̀ ]a]hYf�̀ Yg�YZZYhg�Yb�WUgWUXY"�GU�diV`]WUh]cb�par le SGDSN vise ainsi à mettre en cohérence
`Yg�X]ZZ�fYbhYg�UddfcW\Yg�Yh�XcWiaYbhUh]cbg�Yl]ghUbhYg �XUbg�̀ Y�WUXfY�X»ibY�X�aUfW\Y�ei]�Ua�bY�`Y�gYWhYif�diV`]W�Yh�`Y�gYWhYif�df]j��{�fYbZcfWYf�`U�f�g]`]YbWY�bUh]cbU`Y�XY�aUb]�fY�complémentaire.
@Y�[i]XY�Ygh�gW]bX��Yb�XYil�dUfh]Yg"�@U�dfYa]�fY�Wcbh]Ybh�̀ Yg�]bZcfaUh]cbg�dYfaYh!tant de donner au lecteur une vision synthé-
tique et globale de l’approche méthodologique
ei»]`�Wcbj]Ybh�XY�gi]jfY�UÃ�b�XY�aYbYf�ibY�démarche de continuité et de rétablissement
d’activité en cohérence avec les normes
Yl]ghUbhYg"�
La seconde partie du guide est constituée
XY�Ã�W\Yg�dfUh]eiYg�ei]�X�Wf]jYbh�XY�aUb]�fY�détaillée les étapes et modalités d’élaboration
et de maintenance d’un plan de continuité d’ac-
h]j]h�"�7Yg�Ã�W\Yg�X»UddfcZcbX]ggYaYbh�j]gYbh�{�ZUW]`]hYf�`»Uddfcdf]Uh]cb�XY�`U�a�h\cXY�Yh�des bonnes pratiques en aidant leur transpo-
g]h]cb�XUbg�`Y�WcbhYlhY�gd�W]�eiY�{�W\UeiY�organisation.
9b�b �XYg�UbbYlYg�Zcifb]ggYbh�ib�`Yl]eiY�XY�hYfa]bc`c[]Y�bcfaU`]g�Y �XYg�f�Z�fYbWYg �XYg�YlYad`Yg�Yh�XYg��W\Yg�acX�`Yg"
1.3 l’ambition de ce guide
1.3 la démarche présentée par étapes Pourquoi élaborer un plan de continuité d’activité ?
l’ambition de ce guide
6Guide pour réaliser un plan de continuité d’activité
comment élaborer un plan de continuité d’activité ?
le pca décrit la stratégie de continuité adoptée pour faire face, par ordre de priorité, à des f]geiYg�]XYbh]Ã�g�Yh�g�f]�g�gY`cb�`U�[fUj]h��de leurs effets et leur plausibilité. Il décline cette stratégie en termes de ressources et de procédures documentées qui vont servir de références pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement pré-X�Ãb] �`cfgeiY�WY`i]!W]�U��h��]bhYffcadi�{�`U�suite d’une perturbation importante.
Ib�D75�Ygh�b�WYggU]fYaYbh�ib�d`Ub��jc`ih]Z�WUf�les priorités de l’organisation évoluent avec
`Yg�acX]ÃWUh]cbg�X»cV^YWh]Zg �X»cV`][Uh]cbg�contractuelles ou réglementaires, de relations
UjYW�XYg�dUfhYbU]fYg�YlhYfbYg��Zcifb]ggYifg�ou clients) et d’appréciation du risque. Il doit
�hfY�fYji�f�[i`]�fYaYbh�dcif�hYb]f�WcadhY�XY�`»�jc`ih]cb�XY�WYg�dUfUa�hfYg"�
Toute personne en charge d’une action relevant
X»ib�D75�Xc]h�WcbbU�hfY�df�W]g�aYbh�gcb�f�`Y�Yh�WY�ei»Y``Y�Xc]h�ZU]fY�WcbWf�hYaYbh�Yb�WUg�XY�g]b]ghfY"�9``Y�Xc]h��[U`YaYbh�WcadfYbXfY�`U�ÃbU`]h��fYW\YfW\�Y �UÃb�X»]bgWf]fY�gcb�UWh]cb�dans la cohérence globale de l’organisation.
7Yh�]ad�fUh]Z�Ygh�ib�[U[Y�XY�ÄYl]V]`]h��Yh�X»YZÃWUW]h�"
Il résulte des points précédents que la docu-
aYbhUh]cb�Xi�D75�Xc]h�ZUW]`]hYf�l’adhésion des personnes concernées, l’adaptabilité des
mesures à la situation et l’évolutivité du plan
dans le temps, en incluant une description du
WcbhYlhY �XYg�gW�bUf]cg�XY�f]geiY�fYhYbig�Yh�de la stratégie de réponse.
il est par conséquent recommandé que le contenu du pca comprenne les points suivants, qui doivent être élaborés successivement :
le contexte �`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg�de l’organisation, dont la description se
prolonge logiquement par la liste des activités
�YggYbh]Y``Yg�dcif�`»UhhY]bhY�XYg�cV^YWh]Zg�Yh�`U�tenue des obligations, ainsi que par la liste des
�dfcWYggig�W`�g �b�WYggU]fYg�Ui�ZcbWh]cbbYaYbh�des activités essentielles.
les risques retenus comme les plus graves
pour la continuité d’activité doivent être
W`U]fYaYbh�Yld`]W]h�g�Ui�acmYb�XY�gW�bUf]cg"�7caaY�cb�`Y�jYffU�d`ig�`c]b �]`�Ygh�ZcfhYaYbh�recommandé de conduire une analyse com-
d`�hY�XYg�f]geiYg �XY�ZU�cb�{�X]gdcgYf�X»ibY�[f]``Y�X»�jU`iUh]cb�Yh�XY�Wf]h�fYg�cV^YWh]Zg�dcif�décider des priorités. Néanmoins, en l’absence
d’une démarche de gestion des risques, une
UddfcW\Y�dUf�gW�bUf]cg��dUf�YlYad`Y�ibY�WfiY �une pandémie grippale, la destruction d’un
g]hY� �ZcWU`]g�Y�gif�`Yg�Wcbg�eiYbWYg�gUbg�X�Wf]fY�̀ Yg�WUigYg �dYih�giZÃfY�{��`UVcfYf�ibY�dfYa]�fY�jYfg]cb�XY�D75�g]ad`]Ã�"
la stratégie de continuité d’activité, établie
et décrite en précisant, pour chaque activité
YggYbh]Y``Y �`Yg�b]jYUil�XY�gYfj]WY�fYhYbig�Yh�`Yg�Xif�Yg�X»]bhYffidh]cb�aUl]aU`Yg�UXa]gg]V`Yg�dcif�WYg�X]ZZ�fYbhg�b]jYUil�XY�gYfj]WY �U]bg]�que les ressources et procédures permettant
X»UhhY]bXfY�`Yg�cV^YWh]Zg �Yb�hYbUbh�WcadhY�XYg�ressources critiques qui peuvent avoir été per-
XiYg �̂ igei»{�̀ U�fYdf]gY�XY�̀ U�g]hiUh]cb�bcfaU`Y"
22.1 contenu du pca
2.1 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?
contenu du pca
7Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
Comment élaborer un plan de continuité d’activité (PCA) ?
l’organisation requise
la maintenance opérationnelle du plan. Cette action essentielle consiste en premier
lieu à établir des indicateurs permettant de
j�f]Ã�Yf�Yh�aYgifYf�. @U�VcbbY�a]gY�Yb�µijfY�XYg�X]gdcg]h]Zg�
préconisés dans le plan.
9b�Uacbh�.�`»YZÃ�WUW]h��Xi�d`Ub�Ui�fY[UfX�XYg�cV^YWh]Zg�XY�Wcbh]bi]h�" 9b�UjU`��XifUbh�ibY�Wf]gY��.�`Yg�b]jYUil�XY�
service constatés sur les activités essentielles,
`Y�ZcbWh]cbbYaYbh�XYg�dfcWYggig�gd�W]Ã�eiYg�au PCA et la disponibilité des ressources de
secours.
La maintenance opérationnelle consiste
Ybgi]hY�{�aYhhfY�Yb�d`UWY�`Yg�X]gdcg]h]Zg�XY�aYgifY�fY`Uh]Zg�{�XYg�hYghg�d�f]cX]eiYg �{�XYg�YlYfW]WYg�ci�{�ib�g]b]ghfY�j�Wi"�9``Y�gY�hfUXi]h�YbÃ�b�dUf�̀ »]XYbh]Ã�WUh]cb�XYg�UlYg�XY�dfc[f�g�Yh�le suivi des améliorations apportées au plan.
le rôle des différents responsables, les
procédures de mise en œuvre du PCA et les
acmYbg�b�WYggU]fYg�Xc]jYbh��hfY�Yld`]W]h�g"�@Yg�X]gdcg]h]Zg�df�Wcb]g�g �ibY�Zc]g�]bh�[f�g�XUbg�les moyens et procédures de l’organisation,
doivent être précisés et documentés.
le dispositif de gestion de crise, qui per-
met de conduire la mise en œuvre du PCA en
assurant le pilotage des actions de réponse
et de gestion de l’incertitude, à travers les
procédures de détection d’incident, de quali-
Ã�WUh]cb �X»YgWU`UXY �X»U`YfhY �XY�acV]`]gUh]cb �d’activation de la cellule de crise, d’antici-
pation, d’intervention, de déclenchement
des dispositions du PCA (solution palliative,
acXY�gYWcifg�UjYW�ZcbWh]cbbYaYbh�X�[fUX� �plan de reprise de l’activité normale) et de
communication.
L’élaboration d’un PCA impose au préalable
ibY�UWh]cb�gd�W]Ã�eiY�XY�Wcaaib]WUh]cb�j]gUbh�à sensibiliser l’organisation à la gestion du
risque et à la continuité d’activité, et à préparer
la conduite du changement.
la direction doit par conséquent s’engager très fortement dans l’élaboration du pca, par la
X�g][bUh]cb�Xi�W\YZ�XY�dfc^Yh�Yh�XY�gcb��ei]dY �l’établissement d’un mandat et le pilotage de
points d’avancement réguliers, permettant la
jU`]XUh]cb�XYg�df]bW]dUil�̂ U`cbg �di]g�̀ »Uddfc!VUh]cb�Xi�d`Ub�Yh�gcb�gi]j]"�9``Y�Xc]h�g»UggifYf�Yb�cihfY�eiY�̀ »�ei]dY�XY�dfc^Yh�dciffU�Ub]aYf�une bonne gestion de la continuité et de la
reprise d’activité, à travers :
L’analyse et l’appréciation du risque.
@U�Zcfai`Uh]cb�XY�dfcdcg]h]cbg�XY�ghfUh�[]Y�
de continuité et de reprise, la capacité à
j�f]Ã�Yf�`U�VcbbY�df]gY�Yb�WcadhY�¶�dUf�XYg�responsables désignés – du besoin de dispo-
nibilité des ressources prescrites par le plan
et approuvées par la direction.
L’intégration des procédures de continuité et
de reprise dans les processus de l’organisation.
@U�WUdUW]h��{�j�f]Ã�Yf�̀ »YZÃ�WUW]h��Yh�̀ »YZÃ�W]YbWY�du PCA.
=X�U`YaYbh �`Y�W\YZ�XY�dfc^Yh�Ygh�fUhhUW\��Ui�directeur des risques2. Il doit connaître le
métier et disposer d’une autorité reconnue.
=`�Ygh�dUfZc]g�d`ig�g]ad`Y�XY�ZcfaYf�{�̀ »UbU`mgY�XY�f]geiYg�Yh�Ui�D75�ib�YldYfh�a�h]Yf�eiY�l’inverse. Il devra disposer de correspondants
XUbg�̀ Yg�X]ZZ�fYbhYg�Ybh]h�g�XY�̀ »cf[Ub]gUh]cb �Xcbh�`Yg�fYgdcbgUV`Yg�Uifcbh��h��Yil!a�aYg�gYbg]V]`]g�g�{�`»cV^YWh]Z�Xi�D75"
2.2 l’organisation requise
2 / par expérience il est déconseillé de choisir le responsable des affaires générales ou un responsable informatique.
la démarche présentée par étapes2.2
8Guide pour réaliser un plan de continuité d’activité
2.3 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?
méthodologie d’élaboration du pca
2.3.1 définir le contexte et les objectifs de l’organisationcette première action est essentielle et condi-h]cbbY�̀ »YZÃWUW]h��X»YbgYaV`Y�XY�̀ U�X�aUfW\Y" 9``Y�j]gY�{�df�W]gYf�̀ Y�d�f]a�hfY�[�c[fUd\]eiY�Yh�ZcbWh]cbbY`�XY�̀ »cf[Ub]gUh]cb�ei]�Xc]h��hfY�df]g�Yb�WcadhY �di]g�{�]XYbh]ÃYf�hcih�WY�ei]�dYih�cf]YbhYf�`Yg�W\c]l�Yb�fUddcfh�UjYW�`U�gd�W]ÃW]h��XY�`»cf[Ub]gUh]cb"�BchUaaYbh �]`�convient de prendre en compte aussi bien le
WcbhYlhY�YlhYfbY��XYaUbXY�XYg�UWh]cbbU]fYg �des autorités chargées de la réglementation
Yh�Xi�Wcbhf�`Y �WcbhfUhg�Yl]ghUbhg�Yh�b]jYUil�X»Yl][YbWY�UggcW]�g �Ybj]fcbbYaYbh�dc`]h]eiY �gcW]U` �Wi`hifY` �^if]X]eiY ��Wcbca]eiY�Yh�ÃbUbW]Yf �X�dYbXUbWYg �YhW"� �eiY�̀ Y�WcbhYlhY�interne (histoire et culture de l’organisation,
style de gouvernance et de pilotage, politique
interne de gestion des ressources humaines,
]bZcfaUh]eiYg �aUh�f]Y``Yg�Yh�]aaUh�f]Y``Yg �ghfUh�[]Y�Yh�cV^YWh]Zg�]bhYfbYg �cf[Ub]gUh]cb �dfcWYggig �gmgh�aY�X»]bZcfaUh]cb �Äil �YhW"�"
Cette démarche analytique est nécessaire
dcif�`U�gi]hY �UÃb�bchUaaYbh�XY�dYfaYhhfY�d’apprécier le niveau de risque acceptable par
l’organisation, et d’orienter en conséquence la
stratégie de continuité, soit vers une approche
privilégiant la continuité des activités princi-
pales, soit, au contraire, vers une approche
UWWYdhUbh�d`ig�ZUW]`YaYbh�̀ Yg�dYfhYg�X»UWh]j]h��associées à la prise de risque.
@»UbU`mgY�Xi�WcbhYlhY�dYfaYh��[U`YaYbh�X»]XYbh]ÃYf�̀ Yg�UWh]j]h�g�ei]�gcbh�YggYbh]Y``Yg�dcif�̀ »UhhY]bhY�XYg�cV^YWh]Zg�XY�̀ »cf[Ub]gUh]cb�et le respect de ses obligations. Ces activi-
h�g�giddcgYbh�`»Yl]ghYbWY�XY�dfcWYggig�Yh�XY�Äil��aUh]�fYg�dfYa]�fYg �]bhYfZUWYg�UjYW�`Yg�gmgh�aYg�X»]bZcfaUh]cb��Xcbh�`Yg�d`ig�critiques doivent être utilement cartogra-
phiés et décrits. De ce travail va découler
ibY�dfYa]�fY�UbU`mgY�XYg�fYggcifWYg�X]hYg��Wf]h]eiYg�®�dcif�`Y�Vcb�ZcbWh]cbbYaYbh�XY�l’organisation.
La démarche méthodologique, présentée par
étapes, consiste à :
�5jUbh�hcihYg�W\cgYg �V]Yb�df�W]gYf�̀ Y�WcbhYlhY�Yh�`Y�d�f]a�hfY�Xi�D75"��=XYbh]Z]Yf�`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg�XY�
�̀»cf[Ub]gUh]cb�XUbg�`Y�d�f]a�hfY�fYhYbi"� Formuler des besoins de continuité destinés
{�ZUW]`]hYf�̀ »UhhY]bhY�XYg�cV^YWh]Zg�Yh�̀ Y�fYgdYWh�des obligations.
�=XYbh]ÃYf �[f|WY�{�`»�hiXY�XYg�f]geiYg �`Yg��gW�bUf]cg�XY�Wf]gY�ei]�̂ igh]ÃYbh�ibY�X�aUfW\Y�XY�Wcbh]bi]h��Yh�X�Ãb]f�dUfa]�Yil�ib�cfXfY�de priorité.
�7cbZfcbhYf�`Yg�VYgc]bg�XY�Wcbh]bi]h��Uil� scénarios retenus.
�7cbWYjc]f�Yh�ZcfaU`]gYf�ibY�ghfUh�[]Y�XY�Wcbh]-nuité (et de reprise de la situation normale)
j]gUbh�{�f�dcbXfY�Uil�gW�bUf]cg�fYhYbig"�7YhhY�stratégie doit résulter de l’optimisation entre
X»ibY�dUfh�̀ Yg�Yl][YbWYg�cd�fUh]cbbY``Yg�Yh�̀ Yif�Wc�h�dcif�fYgdYWhYf�̀ Yg�cV^YWh]Zg�XY�Wcbh]bi]h� �et d’autre part le coût et l’acceptabilité de l’in-
hYffidh]cb�XY�̀ »UWh]j]h���Uddf�W]�g�Yb�ZcbWh]cb�de la probabilité de survenue des scénarios).
�8�Ãb]f �XUbg�`Y�WUXfY�XY�`U�ghfUh�[]Y �`Yg�priorités en termes de ressources et de
procédures3 .
�8�Ãb]f�̀ Yg�f�`Yg�XYg�X]ZZ�fYbhg�fYgdcbgUV`Yg�pour mettre en œuvre, dans les délais prescrits,
les ressources et procédures.
�7cbWYjc]f�Yh�X�W`]bYf�̀ Yg�X]gdcg]h]Zg�XY�j�f]-ÃWUh]cb �XY�Wcbhf�`Y�Yh�X»�jc`ih]cbg�f�[i`]�fYg�du plan.
Ces étapes sont résumées dans les paragraphes
gi]jUbhg �XY�aUb]�fY�{�ZUW]`]hYf�̀ U�Wcadf�\Yb-
sion de la démarche méthodologique dans son
ensemble. Une description à vocation pratique
plus détaillée, illustrée par des schémas et
WcadfYbUbh�XYg�ÃW\Yg�XY�VcbbYg�dfUh]eiYg�Ygh�df�gYbh�Y�XUbg�`U�XYil]�aY�dUfh]Y�Xi�[i]XY�(chapitre 3).
2.3 méthodologie d’élaboration du pca
'�#�7cbWf�hYaYbh�WY`U�jYih�X]fY �dUf�YlYad`Y �ei»]`�ZUih�]XYbh]ÃYf�`Yg�g]hYg�XY�fYd`]�ci�{�X�ZUih�Yb�UggifYf�`U�X]gdcb]V]`]h� �`Yg�df�!�ei]dYf �Yh�introduire les procédures adaptées au fonctionnement depuis ces sites de repli.
9Guide pour réaliser un plan de continuité d’activité
2.3 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?
méthodologie d’élaboration du pca
l’évaluation de chaque processus critique.
La description du processus, sa criticité, ses
cV^YWh]Zg�XY�b]jYUi�XY�gYfj]WY�Yh�XY�X�`U]�aUl]!mal d’interruption acceptable (DMIA ou DIMA),
et les conséquences d’une interruption supé-
f]YifY�{�WY�X�`U]�aUl]aU`��Yldf]a�Yg�UihUbh�eiY�dcgg]V`Y�Yb�Wc�h�Ã�bUbW]Yf��gcbh�X�hU]``�Yg�XUbg�XYg�Ã�W\Yg"�G]�`»]bhYffidh]cb�X�dUggY�`Y�X�`U]�aUl]aU`�UWWYdhUV`Y �`Y�Wc�h�Ui[aYbhY�ZcfhYaYbh�UjYW�̀ U�Xif�Y�XY�̀ »]bhYffidh]cb"�GUbg�X]gdcg]h]Z�XY�gYWcifg�]`�Ygh�dcgg]V`Y�XY�aYhhfY�Yb�d�f]`�`»cf[Ub]gUh]cb"�@»]adUWh�Ã�bUbW]Yf�ci�la perte d’image peuvent alors dépasser ce
que l’organisation peut assumer et conduire
XY�ZUWhc�{�gU�X]gdUf]h]cb��WcaaY�`Y�acbhfYbh�`Yg�YlYad`Yg�Xcbb�g�Yb�UbbYlY�"
2.3.3 identifier et gérer les risques prioritairesLa démarche de gestion du risque est une
X�aUfW\Y�[`cVU`Y�ei]�dYfaYh�XY�eiUbh]Ã�Yf�̀ U�probabilité d’occurrence (ou plausibilité) et
les impacts des risques et disposer ainsi des
éléments permettant de décider des actions
{�YbhfYdfYbXfY�UÃ�b�XY�`]a]hYf�`Yg�YZZYhg�XY�`»]bWYfh]hiXY�gif�`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg�XY�`»cf[Ub]gUh]cb"�9``Y�b�WYgg]hY�XY�hfUjU]``Yf�étroitement avec les responsables des métiers
et des processus de l’organisation. C’est la
seule démarche qui permette d’éviter que
`»�ach]cb�ci�`U�dYif�bY�X]WhYbh�`Yg�W\c]l�WUf�Y``Y�dYfaYh�XY�Zcifb]f�XYg��`�aYbhg�XY�eiUb!h]Ã�WUh]cb�gYi`g�{�a�aY�XY�WcbXi]fY�{�XYg�décisions rationnelles.
7cbWf�hYaYbh �]`�g»U[]h�X»]XYbh]Ã�Yf les risques
de toutes natures (approche « tous risques »),
puis de les analyser��gY`cb�`Yg�Wf]h�fYg�XY�Zf�!quence et de gravité) en les regroupant par scé-
bUf]cg�g][b]Ã�WUh]Zg �Yh�Ã�bU`YaYbh�d’évaluer ces
f]geiYg�Yb�ZcbWh]cb�Xi�WcbhYlhY�Yh�XYg�Yb^Yil�pour l’organisation (activités stratégiques,
W\U�bY�XY�jU`Yif �Wcb^cbWhifY �cddcfhib]h�g �WcbWiffYbWY �WUdUW]h���bUbW]�fY �YhW"�"�
@»]XYbh]Ã�WUh]cb des risques consiste à sérier
`Yg�f]geiYg�ei]�dYijYbh�UZZYWhYf�`»UhhY]bhY�
2.3.2 identifier et formaliser les besoins de continuitéCette étape est la suite logique de la précé-
dente. Il s’agit de préciser, pour chaque acti-
j]h��YggYbh]Y``Y�Yh�W\UeiY�dfcWYggig�ci��il�critique, le niveau de service minimum indis-
pensable ainsi que la durée d’indisponibilité
aUl]aU`Y�UWWYdhUV`Y"�8Yg�acXYg�X�[fUX�g�dYijYbh�dUfZc]g��hfY�Ybj]gU[�g �fYbXUbh�U]bg]�plus tolérable une interruption de l’activité.
Cependant, le mode dégradé obéit lui aussi à
XYg�cV^YWh]Zg�XY�b]jYUi�XY�gYfj]WY�a]b]aia�Yh�XY�Xif�Y�aUl]aU`Y�UjUbh�ibY�fYdf]gY�XY�l’activité normale.
Dcif�aU]bhYb]f�ci�f�hUV`]f�`Y�ZcbWh]cbbYaYbh�XYg�dfcWYggig �]`�ZUih�X]gdcgYf�XY�fYggcifWYg�dites « critiques » que l’on peut classer en
W]be�WUh�[cf]Yg�.�fYggcifWYg�\iaU]bYg �]bZfUg!hfiWhifYg �gmgh�aY�X»]bZcfaUh]cb �fYggcifWYg�]bhY``YWhiY``Yg �Yh�Zcifb]ggYifg�YlhYfbYg��dfYg!hUh]cbg�Yh�aUh]�fYg�dfYa]�fYg�"�DUf�Wcbg�eiYbh �XYg�cV^YWh]Zg�fY`Uh]Zg�Ui�b]jYUi�XYg�fYggcifWYg�Wf]h]eiYg�Xc]jYbh��hfY��[U`YaYbh�X�Ã�b]g"�Dcif�g]ad`]Ã�Yf�`Y�hfUjU]` �`»UbU`mgY�XYg�VYgc]bg�Yb�fYggcifWYg�gYfU�YZZYWhi�Y�gif�`U�VUgY�X»ib�nombre limité de scénarios ou situations de
crise retenus comme prioritaires, à l’issue de
la démarche de gestion de risque et compte
tenu des besoins de continuité.
±�WY�ghUXY �]`�Ygh�X�^{�dcgg]V`Y�XY�eiUbh]Ã�Yf�les conséquences d’une interruption de l’ac-
tivité en termes humain (personnes blessées
ou décédées consécutivement à un arrêt de
gYfj]WY�j]hU`� �ci�Ã�bUbW]Yf��dYfhYg�XY�fYg!sources non assurées, application de pénali-
h�g�WcbhfUWhiY``Yg �Wcbg�eiYbWYg�^if]X]eiYg �dYfhY�XY�aUh]�fYg�gi]hY�{�̀ »]bX]gdcb]V]`]h��XYg�gmgh�aYg�X»]bZcfaUh]cb �ci�dYfhY�XY�aUfW\�g�gi]hY�{�XYg�Zi]hYg�X»]bZcfaUh]cb� �U]bg]�eiY�les conséquences sur l’environnement, sur
l’image4, sur le moral des salariés ou sur la
responsabilité pénale du dirigeant.
±�`U�Ã�b�XY�WYhhY��hUdY�`U�X]fYWh]cb�XY�`»cf!ganisme devra valider la description et
4 / par exemple à la suite d’une perte totale de crédibilité visant aussi bien l’organisation elle-même que ses dirigeants.
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
10Guide pour réaliser un plan de continuité d’activité
2.3méthodologie d’élaboration du pca
d’occurrence (ou plausibilité) par des mesures
de protection physiques ou logiques dissua-
g]jYg �̀ U�gYbg]V]`]gUh]cb�XYg�Yad`cm�g�Uil�Vcbg�WcadcfhYaYbhg �̀ U�X�hYWh]cb�fUd]XY�XY�g][bUil�précurseurs pour arrêter la menace à temps,
XYg�UWh]cbg�XY�X]ggiUg]cb�ZUWY�{�XYg�aYbUWYg�de nature humaine ou encore des interventions
préventives.
Les actions de protection visent à limiter
`Yg�YZZYhg�X]fYWhg�X»ib�g]b]ghfY�Yh�{�W]fWcbg-
Wf]fY�`Y�d�f]a�hfY�XYg�X�[|hg �dUf�YlYad`Y�en protégeant les personnes et les biens, en
rendant plus résistants les points névralgiques,
Yb�X�jY`cddUbh�ibY�X�ZYbgY�Yb�dfcZcbXYif�pour ralentir la progression et en assurant
ibY�X�hYWh]cb�fUd]XY�XYg�]bW]XYbhg�UÃb�XY�permettre une intervention rapide.
2.3.4 choisir les scénarios à prendre en compteLes actions de prévention et de protection ont
permis de réduire les risques, mais pas de
les supprimer. Des risques résiduels demeu-
rent, qui ont généralement une probabilité
X»cWWiffYbWY��ci�d`Uig]V]`]h���ZU]V`Y �aU]g�peuvent néanmoins conduire à une perte de
ressources critiques susceptible d’entraîner
une interruption d’activité au-delà du seuil
acceptable ou une diminution du niveau de
gYfj]WY�Yb�XY�{�Xi�gYi]`�a]b]aia�df�X�Ãb]"�7Yg�f]geiYg�gcbh�dUf�Wcbg�eiYbh�Wcbgh]hih]Zg�de scénarios qui devront être traités dans le
cadre du PCA. Le travail de gestion du risque a
permis également de les caractériser en termes
de vraisemblance et d’impact. Ces données
vont permettre d’optimiser la stratégie du plan
de continuité présentée plus loin.
2.3.5 formaliser les moyens et procédures5Ãb�X»UggifYf�`U�Wcbh]bi]h��X»UWh]j]h���bch]cb�prise au sens large de la normalisation, recou-
vrant le maintien du service au-dessus du seuil
a]b]aia �̀ Y�ZcbWh]cbbYaYbh�X�[fUX��hYadcfU]fY�et les mécanismes de reprise d’activité, partielle
ou totale) il est nécessaire de pallier la perte
de ressources critiques en utilisant d’autres
ressources. Cela n’est généralement possible
que si de telles ressources ont été prévues à
XYg�cV^YWh]Zg�ghfUh�[]eiYg��dUfh�XY�aUfW\� ��bcijYUil�dfcXi]hg ��ei]`]VfY�Z]bUbW]Yf¯� ��cd�fUh]cbbY`g��fYgdYWh�XYg�X�`U]g�XY�Zcifb]hifY �coût des prestations, qualité des produits…),
XY�[cijYfbUbWY��eiU`]h��XY�`»]bZcfaUh]cb�XY�d]`chU[Y �Wc\�fYbWY�XYg�gmgh�aYg�X»]bZcfaU-
h]cb�X�W]g]cbbY`g¯��ci�XY�WcbZcfa]h���fYgdcb-
sabilité sociale et environnementale, respect
XYg�hYlhYg�f�[`YaYbhU]fYg¯�"�5i�gY]b�XY�WYg�« rubriques », les risques peuvent être égale-
ment classés selon leur origine (accidentelle,
naturelle, sanitaire, technologique, ou action
humaine délibérée).
l’analyse�XYg�f]geiYg�dYih�gY�ZU]fY�gY`cb�X]ZZ�fYbhYg�a�h\cXYg �dUf�YlYad`Y�Yb�WUfUW-
térisant la source du risque (la menace), les
ji`b�fUV]`]h�g��[f|WY�UileiY``Yg�`U�aYbUWY�dYih�dfcXi]fY�XYg�YZZYhg��Yh�`Yg�YZZYhg��ci�]adUWhg��Yil!a�aYg"�
l’évaluation des risques consiste à les
�W`UggYf�gY`cb�XYil�Wf]h�fYg�.�`U�dfcVUV]`]h��d’occurrence (ou plausibilité) et la gravité
d’impact. Il résulte de ce classement une liste
graduée des risques, les plus critiques étant
WYil�ei]�gcbh�{�`U�Zc]g�`Yg�d`ig�Zf�eiYbhg�Yh�dont l’impact est le plus grave. Ces derniers
dYijYbh�ZU]fY�̀ »cV^Yh�X»ibY��jU`iUh]cb�Wcad`�-
aYbhU]fY�dcif�dfYbXfY�Yb�WcadhY�̀ Y�WcbhYlhY�gd�W]ÃeiY�XY�̀ »cf[Ub]gUh]cb�UjYW�gYg�jU`Yifg"�=`�Yb�f�gi`hY�ÃbU`YaYbh�ibY�`]ghY�XY�f]geiYg�classés par ordre d’importance décroissante,
`Yg�dfYa]Yfg�XYjUbh�ZU]fY�`»cV^Yh�X»ibY�UWh]cb�prioritaire : le « traitement ».
le traitement des risques prioritaires
consiste à décider d’une action visant à
��`]a]bYf�̀ Y�f]geiY��dUf�YlYad`Y�Yb�W\Ub[YUbh�l’activité ou sa localisation) ou à le limiter (par
des actions de prévention et de protection
�d\mg]eiY� �ci�YbWcfY�dUf�ibY�[Ygh]cb�ÃbUbW]�fY�(assurance, partage).
Quand le risque ne peut être éliminé, les
actions de prévention ou de protection sont
à privilégier car elles sont généralement moins
coûteuses que la gestion des conséquences
d’un sinistre. Les actions de prévention consis-
hYbh�dUf�YlYad`Y�{�X]a]biYf�`U�dfcVUV]`]h��
Comment élaborer un plan de continuité d’activité (PCA) ? la démarche présentée par étapes
11Guide pour réaliser un plan de continuité d’activité
la démarche présentée par étapes
Les moyens et procédures à mettre en place
couvrent en premier lieu les ressources cri-
h]eiYg�]XYbh]��Yg�.
pour les ressources humaines il s’agit
�X»]XYbh]Ã�Yf�̀ Yg�dcg]h]cbg�XY�hfUjU]`�W`�g�dcif�̀ U�continuité des activités essentielles, les posi-
tions de travail à maintenir et les dispo si tions
pour y arriver (suppléance du personnel, méca-
b]gaYg�X»UghfY]bhY �fYWcifg�Uil�f�gYfj]ghYg �possibilité de travail occasionnel à distance…),
`Yg�X]gdcg]h]Zg�hYW\b]eiYg�b�WYggU]fYg��`cWUil �acmYbg�X»UWW�g �cih]`g�XY�hfUjU]` �acmYbg�XY�h�`�Wcaaib]WUh]cb �g�Wif]h��]bZcfaUh]eiY �UWW�g� {� `U� VUgY� XY� WcbbU]ggUbWY¯� � `Yg�acmYbg�\iaU]bg��ZcfaUh]cb �gYbg]V]`]gUh]cb �YlYfW]WYg""��Yh�`Yg�X]gdcg]h]Zg�f�[`YaYbhU]fYg�(contrat de travail, convention collective,
responsabilités…).
pour les systèmes d’information et de com-munication, il est souhaitable de disposer
d’une architecture permettant de répondre
Uil�Yl][YbWYg�Yb�hYfaYg�XY�X�`U]g�XY�gYWcifg�Yh�XY�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y �[f|WY�{�ib�X�WcidU[Y�XY�`»UfW\]hYWhifY�hYW\!b]eiY�Yb�d`UeiYg�gYWcifUV`Yg�\cac[�bYg �ZUW]`]hUbh�gY`cb�`Yg�Wf]h�fYg�df�W�XYbhg�ibY�fYdf]gY�dfc[fYgg]jY�dUf�dU`]Yfg �Yh�{�̀ »Yl]ghYbWY�de centres de secours et de données sauve-
gardées, avec les mécanismes adéquats. Des
hYghg�f�[i`]Yfg�gcbh�b�WYggU]fYg�dcif�Yb�j�f]Ã�Yf�`»YZÃ�WUW]h�"�@Yg�acmYbg�XY�h�`�Wcaaib]WUh]cb�gcbh�gcijYbh�ib�dc]bh�XY�ji`b�fUV]`]h��aU^Yif �^igh]Ã�Ubh�̀ »Yl]ghYbWY�XY�X]gdcg]h]Zg�XY�gYWcifg��f�gYUil�X�X]�g�g�Wif]g�g �gmgh�aYg�df]j�g�dUf�fUX]c �UWW�g�dUf�gUhY``]hY �YhW"��ei]�Xc]jYbh�être intégrés dans les procédures en temps
bcfaU` �UÃ�b�XY�dcijc]f��hfY�ih]`]g�g�ZUW]`YaYbh�en période de crise.
@Yg�dfcWYggig�Yh�̀ Yg�Ä�il peuvent utilement
ZU]fY�̀ »cV^Yh�XY�fYXcbXUbWYg�Yh�XY�gc`ih]cbg�XY�WcbhcifbYaYbh �ZcfaU`]g�Yg�XUbg�XYg�d`Ubg�XY�Wcbh]bi]h��dU``]Uh]Zg�X�Ã�b]g�dUf�`Yg�fYgdcb!gUV`Yg�XYg�a�h]Yfg��dUf�YlYad`Y�XYg�dfcW�XifYg�aUbiY``Yg�"�8Yg�dfcW�XifYg��gd�W]Ã�eiYg�Ui�D75�devront par ailleurs avoir été intégrées dans
`Yg�dfcWYggig�XY�̀ »cf[Ub]gUh]cb�UÃ�b�XY�dcijc]f�être mises en œuvre en cas d’activation du PCA.
l’avance. Il est donc nécessaire de limiter les
dYfhYg�XY�ZU�cb�{�X]gdcgYf�Udf�g�̀ Y�g]b]ghfY�X»ib�niveau de ressources minimum pour permettre
`U�fYdf]gY"�DUf�YlYad`Y�]`�bY�gYfU�dcgg]V`Y�X»Ug!gifYf�̀ U�fYdf]gY�X»ib�gmgh�aY�X»]bZcfaUh]cb�{�ib�niveau acceptable que si un certain nombre de
aUh�f]Y`g�Yh�XY�f�gYUil�gcbh�X]gdcb]V`Yg�Udf�g�le sinistre et si les données critiques sauvegar-
X�Yg�gcbh�giZÃ�gUaaYbh�f�WYbhYg�dcif�̀ ]a]hYf�̀ U�perte opérationnelle. C’est le concept de perte
XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y"�
Il résulte de ceci que la reprise d’activité doit
se préparer :
9b�]XYbh]Ã�Ubh�ci�Yb�Wf�Ubh�XYg�fYggcifWYg�fYXcbXUbhYg�bcb�gigWYdh]V`Yg�X»�hfY�UZZYWh�Yg�par le sinistre.
9b�g»cijfUbh�̀ U�dcgg]V]`]h��XY�ZU]fY�UddY` �XUbg�XYg�X�`U]g�UXUdh�g �{�XYg�fYggcifWYg�YlhYfbYg" 9b�Udd`]eiUbh�XYg�dfcW�XifYg�XY�gUijY[UfXY�
XYg�Xcbb�Yg�UXUdh�Yg�{�̀ »Yl][YbWY�Yb�hYfaYg�XY�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y" 9b�X]gdcgUbh�X»ibY�cf[Ub]gUh]cb �X»ibY�UfW\]!
tecture technique et de procédures qui vont per-
aYhhfY�̀ Y�ZcbWh]cbbYaYbh�Xi�WYbhfY�XY�gYWcifg�dans les délais prescrits et pour les applications
prioritaires.
=`�Ygh�dcgg]V`Y�dUf�YlYad`Y�XY�X]gdcgYf�XY�X]Z!Z�fYbhg�X]gdcg]h]Zg�XY�gYWcifg�]bZcfaUh]eiY �̀ Yg�données essentielles étant dupliquées par un
mécanisme de reproduction synchrone, assurant
de ne pas perdre des données, tandis que des
applications moins critiques pourront accepter
ibY�fYdf]gY��{�Zfc]X�®�UjYW�`Yg�Xcbb�Yg�XY�`U�veille.
La reprise d’activité doit également se préparer
en disposant de procédures testées :
Activation des ressources de secours.
Cf[Ub]gUh]cb�Yh�X]gdcg]h]Z�XY�[Ygh]cb�XY�Wf]gY" Déclenchement et mise en œuvre des modes
X�[fUX�g�XY�ZcbWh]cbbYaYbh"
Le PCA requiert par conséquent des moyens et
des procédures qui doivent être mis en place
UjUbh�̀ U�gifjYbiY�X»ib�g]b]ghfY"�5df�g�̀ Y�g]b]ghfY �la cellule de crise pourra activer certaines dis-
dcg]h]cbg�Xi�D75�UÃ�b�XY�dYfaYhhfY�ibY�fYdf]gY�partielle puis totale de l’activité.
2.3Comment élaborer un plan de continuité d’activité (PCA) ?
méthodologie d’élaboration du pca
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
12Guide pour réaliser un plan de continuité d’activité 12Guide pour réaliser un plan de continuité d’activité
2.3 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?
méthodologie d’élaboration du pca
le rôle de l’état doit naturellement être pris
en compte dans l’analyse des solutions permet-
tant d’assurer la continuité d’activité. L’État
Ygh�Zcifb]ggYif�XY�WYfhU]bYg�dfYghUh]cbg�Yh�dfcachYif�XY�f�[`Yg�XY�VcbbYg�dfUh]eiYg�dans le cadre de la continuité de ses activités
essentielles. Il est également le gardien de
l’intérêt général, pour la gestion des risques
Yh�̀ U��f�g]`]YbWY�XY�̀ U�BUh]cb"�7Y�f�`Y�WcadcfhY�pour l’État la conduite d’analyses des risques
aU^Yifg �`»�`UVcfUh]cb�Yh�`U�aU]bhYbUbWY�XY�d`Ubg�bUh]cbUil�XY�df�dUfUh]cb�Yh�XY�f�dcbgY�Uil�Wf]gYg �̀ U�f�U`]gUh]cb�X»ibY�jY]``Y�cd�fUh]cb-
bY``Y �`U�a]gY�Yb�µijfY�XY�X]gdcg]h]Zg�WYbhfU-
lisés et déconcentrés de gestion de crise pour
assurer la coordination des acteurs publics
et privés dans la mise en œuvre des mesures
d’intervention, de protection de la population
et de continuité des activités d’importance
vitale pour la vie économique et sociale.
2.3.6 définir la stratégie de continuitéNous avons vu précédemment que les scéna-
rios de crise conduisant à un niveau d’activité
ou à une durée d’interruption inacceptables
dUf�fUddcfh�Uil�gYi]`g�X�Ãb]g �^igh]ÃYbh�ib�plan de continuité. Par ailleurs, on a vu que le
coût de dépassement de ces seuils peut être
calculé. Il est d’autant plus élevé que l’inter-
ruption d’activité est longue. Au paragraphe
précédent, les moyens à mettre en œuvre pour
assurer la continuité ou la reprise d’activité
cbh��h��]XYbh]Ã�g"�@Yif�Wc�h�dYih�XcbW��hfY�évalué. Ce coût est d’autant plus élevé que
`Yg�cV^YWh]Zg�XY�X�`U]g�X»]bhYffidh]cb�gcbh�courts. Il est par conséquent aisé (au moins
en théorie) de déterminer le point d’optimi-
sation, en prenant en compte la probabilité
d’occurrence du scénario de crise et l’appé-
tence ou aversion au risque de l’organisation,
dcif�`»UWh]j]h��Wcbg]X�f�Y"�9b�dfUh]eiY �WYg�WU`Wi`g�ÃbUbW]Yfg�dYijYbh��hfY�dUfZc]g�hfcd�Wcad`YlYg"�8Ubg�WY�WUg�`»cfXfY�XY�[fUbXYif�eiUbh]hUh]Z�Yh�eiU`]hUh]Z�XYg�Wc�hg�̂ igh]ÃUbh�̀ U�mise en place d’une stratégie de continuité
les ressources intellectuelles ne sont géné-
ralement pas prises en compte en dehors
XYg�gmgh�aYg�X»]bZcfaUh]cb�Yh�XYg�gUijY-
gardes associés. Néanmoins pour certaines
organisations les ressources intellectuelles
ou immatérielles sont si critiques que des
X]gdcg]h]Zg�XY�dfchYWh]cb�Yh�XY�fYdf]gY�Xc]jYbh�être prévus. Des solutions de sécurisation
gd�W]ÃeiYg��dYijYbh��hfY�b�WYggU]fYg��gUijY-
[UfXYg �Wcbhf�`Y�X»UWW�g�fYbZcfW� �X�d�h�XY�brevets, protection des marques, cryptage,
W`Ugg]ÃWUh]cb�Ui�gYWfYh�XY�X�ZYbgY¯�"
les infrastructures sont souvent les pre-
a]�fYg�{�ZU]fY�`»cV^Yh�XY�X]gdcg]h]Zg�XY�Wcbh]-nuité, en raison de catastrophes vécues,
comme une inondation ou un incendie. Les
solutions sont souvent bien connues et maî-
hf]g�Yg �aU]g�ibY�j�f]ÃWUh]cb�fYghY�ZcfhYaYbh�recommandée5.
�9bÃb�`Y�d`ig�Wcad`YlY�fYghY�`U�ghfUh�[]Y�à adopter vis-à-vis des partenaires (presta-
hU]fYg�Yh�Zcifb]ggYifg�YlhYfbYg�"�9b�YZZYh �]`�Ygh�b�WYggU]fY�XY�hfUbgdcgYf�̀ Yg�Yl][YbWYg�XY�Wcbh]bi]h��]bhYfbY�jYfg�̀ Yg�Äil�jYbUbh�XY�̀ »Yl-
h�f]Yif�Yh�XcbW�jYfg�̀ Yg�Zcifb]ggYifg�YlhYfbYg"�7Yg�Yl][YbWYg�dcijUbh��hfY�eiUbh]Z]�Yg �`»Yb^Yi�Ygh�U`cfg�XY�`Yg�hfUXi]fY�Yb�hYfaYg�WcbhfUWhiY`g�¶�UWWcadU[b�g�XY�Wcbhf�`Yg�Yh�XY�X]gdcg]h]Zg�XY�WccfX]bUh]cb�XifUbh�ibY�crise – et/ou en mécanismes de travail en
acXY�Wc``UVcfUh]Z�UjYW�dUfhU[Y�XYg�UbU`mgYg�et traitement du risque, dans la stratégie de
Wcbh]bi]h��Yh�X»YlYfW]WYg�Wcaaibg"�8Ubg�WYf-tains cas, il peut être nécessaire d’internaliser
WYfhU]bYg�ZcbWh]cbg�dcif�Yb�UggifYf�̀ U�aU�hf]gY�à moindre coût6. Une démarche de mutua-
`]gUh]cb�XY�WYfhU]bYg�fYggcifWYg�YlhYfbYg�peut également être envisagée, sous réserve
X»Udd`]eiYf�XYg�f�[`Yg�hf�g�ghf]WhYg�f�[]ggUbh�`Yg�df]cf]h�g�X»UWW�g"�@U�dfcV`�aUh]eiY�XYg�]bhYfX�dYbXUbWYg�Yh�XYg�YZZYhg�Yb�WUgWUXY�^igh]ÃY�XYg��hiXYg�d`ig�UddfcZcbX]Yg"�7Y�gi^Yh�Ygh�UbU`mg��Yb�X�hU]`�XUbg�̀ U�XYil]�aY�dUfh]Y�de ce guide.
5 / exemple très courant du groupe électrogène ou du répartiteur de basse tension situés dans les sous-sols inondables.
6 / C’est par exemple le besoin de disposer de groupes électrogènes pour alimenter des fonctions stratégiques en cas d’absence d’électricité
ou de pouvoir utiliser des moyens de télécommunication privatifs pour alerter et communiquer avec les intervenants en cas d’interruption
prolongée des moyens de télécommunication publics.
13Guide pour réaliser un plan de continuité d’activité 13Guide pour réaliser un plan de continuité d’activité
2.3 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?
méthodologie d’élaboration du pca
possible de rédiger le plan de continuité
d’activité qui va décrire la démarche logique
UmUbh�WcbXi]h�Ui�W\c]l�XY�`U�ghfUh�[]Y�XY��Wcbh]bi]h��Yh�XY�`U�f�dcbgY�Uil�X]ZZ�fYbhg� scénarios de crise retenus. Cette réponse
consiste à préciser les moyens et à documenter
les procédures qu’il convient de mettre en
µijfY�Yb�ZcbWh]cb�XYg�X]gdcg]h]Zg�Xi�D75� activés par la cellule de crise.
Les responsables de ces moyens et procédures
Xc]jYbh��hfY�W`U]fYaYbh�]XYbh]Ã��g�U]bg]�eiY�̀ Yif�f�`Y�Yh�`Yg�UWh]cbg�UhhYbXiYg�X»Yil"�@U�XcWi!aYbhUh]cb�Xc]h��hfY�ZUW]`YaYbh�UWWYgg]V`Y�Yb�cas de besoin, être aisément comprise même
dUf�XYg�dYfgcbbYg�f�WYaaYbh�UZZYWh�Yg�Yh�ei]�b»cbh�dUg�YbWcfY��h��Zcfa�Yg"�9``Y�Xc]h��hfY�Uigg]�U]g�aYbh�acX]Ã�UV`Y�dcif�dYfaYhhfY�Ui�PCA d’évoluer. Par ailleurs, les procédures
gd�W]Ã�eiYg�Ui�D75�Xc]jYbh��hfY�dUfZU]hYaYbh�]bh�[f�Yg�Uil�dfcW�XifYg�bcfaU`Yg�UÃ�b�X»�hfY�Wcadf]gYg�Yh�ZUW]`YaYbh�UWh]j�Yg�Yb�g]hiUh]cb�d’urgence.
2.3.9 assurer la capacité de mise en Œuvre du planLes responsables en charge des moyens doivent
j�f]Ã�Yf�`U�X]gdcb]V]`]h��XYg�fYggcifWYg�gd�W]!Ã�eiYg�WcbX]h]cbbUbh�`»UWh]jUh]cb�Xi�d`Ub�XY�Wcbh]bi]h�"�±�X�ZUih �XY�bcijY``Yg�fYggcifWYg7
doivent être mobilisées pour assurer cette
disponibilité dans les délais prescrits par le
PCA. Les procédures de mise en œuvre du PCA
Xc]jYbh��[U`YaYbh��hfY�gd�W]Ã��Yg �XcWiaYb!h�Yg�Yh�]bh�[f�Yg�XUbg�̀ Yg�dfcWYggig�Yl]ghUbhg8.
=`�Ygh�b�WYggU]fY�XY�j�f]Ã�Yf�eiY�WYg�fYggcifWYg�sont bien disponibles-, ou le seront à une date
]XYbh]Ã��Y �Yh�eiY�̀ Yg�dfcW�XifYg�gcbh�WcbbiYg �comprises et pourront être mises en œuvre
dans les délais prescrits, et selon des modalités
gd�W]Ã�eiYg�Uil�gW�bUf]cg�fYhYbig"�7YhhY�h|W\Y�Ygh�VYUiWcid�d`ig�X]ZÃ�W]`Y�eiUbX�cb�g»UXfYggY�{�XYg�dfYghUhU]fYg�YlhYfbYg �ei]�bY�gcbh�dUg�gcig�̀ Y�Wcbhf�`Y�XY�̀ »cf[Ub]gUh]cb"�7YdYbXUbh �
dYih�hci^cifg��hfY�Ygh]a��UÃ�b�X»cVhYb]f�ibY�validation en connaissance de cause par la
direction.
2.3.7 spécifier les procédures de gestion de crise et de communicationLa gestion de crise, entendue au sens large,
WcbXi]h�{�aYhhfY�Yb�µijfY�`Yg�X]gdcg]h]Zg�Yh�procédures nécessaires pour détecter, qua-
`]Ã�Yf �U`YfhYf �Ubh]W]dYf �WcbXi]fY�`Yg�UWh]cbg�utiles, et décider notamment de l’activation
XY�WYfhU]bg�X]gdcg]h]Zg�Xi�D75"�8Ubg�WYhhY�dYfgdYWh]jY �`Yg�ZcbWh]cbg�W`�g�XY�`U�[Ygh]cb�de crise sont :
La veille, qui permet de détecter des signes
précurseurs et donc de préparer les respon-
sables concernés.
La procédure d’escalade, qui permet d’alerter
les responsables du PCA et de la gestion de
Wf]gY�UÃ�b�XY�eiU`]Ã�Yf�`»�j�bYaYbh�UggYn�h�h�pour déclencher l’alerte de la hiérarchie, puis
prendre au bon moment la décision d’activer
la cellule de crise.
@Yg�ZcbWh]cbg�X»U]XY�{�`U�X�W]g]cb�Yh�bchUa!ment la capacité à anticiper, analyser les
�X]ZZ�fYbhg�gW�bUf]cg�dcgg]V`Yg�Yh�fYWcaaUbXYf�ib�d`Ub�X»UWh]cb�cdh]aU`�XUbg�`Y�WcbhYlhY��]bWYfhU]b�]b\�fYbh�Uil�g]hiUh]cbg�XY�Wf]gY�gcfhUbh�X»ib�WUXfY�df�X�Ã�b]"�
@U�WY``i`Y�XY�Wf]gY�̂ ciY�ib�f�`Y�W`��XUbg�̀ »UWh]!jUh]cb�XYg�X]gdcg]h]Zg�Xi�D75�ei]�gcbh�̀ Yg�d`ig�adaptés à la situation. A contrario, dans le cas
XY�g]hiUh]cbg�Zf�eiYbhYg��dUf�YlYad`Y�Yb�WUg�XY�ZcfhYg�hYad�hYg�XUbg�̀ Yg�5bh]``Yg� �XYg�D75�dYijYbh��hfY�UWh]j�g�Yb�acXY��f�Ä�YlY�® �gUbg�qu’il y ait nécessairement besoin de disposer
d’une cellule de crise.
2.3.8 rédiger le plan de continuité et la documentation associée5i�hYfaY�XYg�hfUjUil�X�Wf]hg�Uil�dUfU[fUd\Yg�df�W�XYbhg�Yh�Udf�g�`Yif�jU`]XUh]cb �]`�Ygh�
7 / Cela peut être par exemple un site de repli, un centre de secours informatique ou des ressources humaines qui pourront suppléer l’absence
XY�`cWUil�ci�XY�dYfgcbbYg�fYbXiYg�]bX]gdcb]V`Yg��aU`UX]Y �UVgYbWY�XY�acmYbg�XY�hfUbgdcfh¯�"8 / Cela peut inclure par exemple un dispositif simple permettant de passer une commande dans des délais plus courts qu’avec la procédure
administrative habituelle, ou des procédures plus complexes destinées à déplacer un centre informatique sur un site de secours en utilisant
les sauvegardes disponibles sur un troisième site.
9 / en effet, certains fournisseurs de «centre de repli» signent le même contrat avec plusieurs opérateurs, pour les mêmes ressources,
aU]g�bY�dYijYbh�`Yg�Zcifb]f�ei»Ui��dfYa]Yf�Uff]j��®�`cfgeiY�`»]bW]XYbh�gifj]Ybh��j�f]Ã�Yf�ei»]`g�bY�Zcbh�dUg�XY�gifVcc_]b[�"
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
14Guide pour réaliser un plan de continuité d’activité 14Guide pour réaliser un plan de continuité d’activité
2.3 la démarche présentée par étapes
méthodologie d’élaboration du pca
WcbÃUbWY �di]g�XY�hYghYf�`U�a]gY�Yb�µijfY�XYg�X]gdcg]h]Zg��dUf�YlYad`Y�`Y�VUgWi`YaYbh�XY�WYfhU]bYg�ZcbWh]cbg�gif�ib�g]hY�XY�gYWcifg� �XY�j�f]ÃYf�YbÃb �dUf�XYg�YlYfW]WYg �eiY�`Yg�X]gdcg]h]Zg�Yh�dfcW�XifYg�XY�Wcbh]bi]h��gcbh�connus, compris et peuvent être mis en œuvre
dans les délais prescrits.
les mêmes principes doivent s’appliquer, avec,
gY`cb�`Y�WUg �ib�Wcbhf�`Y�X]fYWh �ib�Wcbhf�`Y�XcWiaYbhU]fY �ibY�WYfh]ÃWUh]cb�dUf�ib�h]Yfg�Yh#ci�̀ U�dUfh]W]dUh]cb�{�XYg�hYghg�ci�YlYfW]WYg�Wcaaibg��ibY�ÃW\Y�gd�W]ÃeiY�hfU]hY�XY�WY�gi^Yh�XUbg�`U�gYWcbXY�dUfh]Y�Xi�[i]XY�"
2.3.10 faire évoluer le plan : exercices et retours d’expérienceIbY�Zc]g�`Y�D75�f�U`]g��Yh�gU�WUdUW]h��{��hfY�mis en œuvre garantie, il est nécessaire d’en
j�f]ÃYf�`»YZÃWUW]h�"�±�WYh�YZZYh �X]ZZ�fYbhYg�approches complémentaires sont recom-
aUbX�Yg"�=`�g»U[]h�X»UVcfX�XY�ZU]fY�j�f]ÃYf�les documents, idéalement par un tiers de
Tâch
es n
éces
sair
es p
our é
labo
rer u
n PC
A
H|W\
Yg�d
cijU
bh��
hfY�
g]a
d`]�
�Yg�
XUbg
�ib�
dfYa
]Yf�h
Yadg
Bouc
le d
e ré
visi
on
Réfé
renc
e au
cha
pitr
e du
gui
de1
dém
arch
e d
’éla
bora
tio
n d
’un
pla
n d
e co
nti
nu
ité
cart
ogra
phie
de
s sy
stèm
es, p
roce
ssus
re
ssou
rces
néc
essa
ires
atte
nte
de c
onti
nuit
é
cart
ogra
phie
de
s ri
sque
s et
str
atég
ie
de tr
aite
men
t
Arbi
trag
eco
ûts/
avan
tage
s
obj
ecti
fs d
e co
ntin
uité
stra
tégi
e de
répo
nse
solu
tion
s de
répo
nse
Exer
cice
s,
mes
ures
de
s ré
sult
ats,
ré
visi
ons
Révi
sion
de
s ob
ject
ifs
Niv
eau
de r
isqu
e ac
cept
able
Cont
exte
et b
esoi
nsSt
raté
gie
de c
onti
nuit
éM
ise
en œ
uvre
54
8�Ã
�b]f
�`U�g
hfUh
�[]Y
�de
cont
inui
té d
’act
ivit
é
3
=XYb
h]�Y
f �Ub
U`mg
Yf �
éval
uer e
t tra
iter
le
s ri
sque
s
2
Dét
erm
iner
les
atte
ntes
de
séc
urit
é po
ur te
nir
les o
bjec
tifs
1
8�Ã
�b]f
�`Y�W
cbhY
lhY�
=XYb
h]�Y
f�`Yg
�cV^
YWh]
Zg�
et le
s ac
tivi
tés
esse
ntie
lles
Met
tre
en œ
uvre
et
ass
urer
l’ap
prop
riat
ion
2.3 la démarche présentée par étapes Comment élaborer un plan de continuité d’activité (PCA) ?
méthodologie d’élaboration du pca
15Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
16Guide pour réaliser un plan de continuité d’activité
les fiches pratiques
les fiches pratiques
Fiche 1 Comment lancer une démarche de PCA ? 18
Fiche 2 :U]fY�̀ Y�W\c]l�X»ibY�X�aUfW\Y�Wcad`�hY�ci�g]ad`]Ã�Y�� %-Fiche 3 8�Ãb]f�̀ Y�d�f]a�hfY�Xi�D75� &$Fiche 4 =XYbh]ÃYf�̀ Yg�cV^YWh]Zg�Yh�UWh]j]h�g�YggYbh]Y``Yg�� &%Fiche 5 7Ufhc[fUd\]Yf�̀ Yg�dfcWYggig�Yh�̀ Yg�Äil�Yh�X�Ãb]f�̀ Yif�Wf]h]W]h��� &&Fiche 6 =XYbh]ÃYf�Yh�ZcfaU`]gYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��� &'Fiche 7 =XYbh]ÃYf�̀ Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�̀ Yg�fYggcifWYg�Wf]h]eiYg�� &)Fiche 8 Mesurer les conséquences d’une interruption de service 27
Fiche 9 @U�X�aUfW\Y�XY�[Ygh]cb�Xi�f]geiY�dcif�̀ Yg�UWh]j]h�g�YggYbh]Y``Yg�� &-Fiche 10 =XYbh]ÃYf�̀ Yg�f]geiYg� '$Fiche 11 Analyser et caractériser les risques 32
Fiche 12 Évaluer les risques 34
Fiche 13 HfU]hYf �hfUbgZ�fYf ��j]hYf�ci�UWWYdhYf�̀ Yg�f]geiYg�]XYbh]Ã�g�� '*Fiche 14 Quels scénarios de risques prendre en compte ? 37
Fiche 15 8�Ãb]f�̀ Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX������������������������Yh�dcif�̀ U�fYdf]gY�X»UWh]j]h��� '-Fiche 16 8�Ãb]f�̀ Yg�Yl][YbWYg�dcif�̀ Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75�� (&Fiche 17 8�Ãb]f�̀ Yg�Yl][YbWYg�j]g!{!j]g�XYg�dUfhYbU]fYg�� ()Fiche 18 @Yg�fY`Uh]cbg�UjYW�̀ Yg�gYfj]WYg�XY�̀ »vhUh�� (-Fiche 19 Le bilan coût/avantage d’un PCA. Comment arbitrer ? 51
Fiche 20 8�Ãb]f�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h��� )'Fiche 21 La mise en œuvre des moyens nécessaires au PCA 54
Fiche 22 Processus de gestion de crise et PCA 55
Fiche 23 Quand et comment déclencher le PCA ? 58
Fiche 24 PCA et communication de crise 61
Fiche 25 @Yg�]bX]WUhYifg�X»YZÃW]YbWY�Xi�D75�� *&Fiche 26 Le maintien en condition opérationnelle du PCA 63
Fiche 27 5gdYWhg�̂ if]X]eiYg�UggcW]�g�{�̀ U�a]gY�Yb�µijfY�X»ib�D75�� *)
les annexes
annexe 1 @Yl]eiY�� **annexe 2 F�Z�fYbWYg�� *+annexe 3 Fiche guide synthétique pour l’auto-évaluation des bonnes pratiques 70
annexe 4 :]W\Y�acX�`Y�X»UbU`mgY�Yh�X»�jU`iUh]cb�XYg�f]geiYg� pour une situation donnée 72
annexe 5 :]W\Y�acX�`Y�XY�F9H9L�� +(
3
4
17Guide pour réaliser un plan de continuité d’activité
@Yg�Ã�W\Yg�dfUh]eiYg�X�Wf]jYbh�XY�aUb]�fY�UddfcZcbX]Y�`Yg��hUdYg�XY�`U�X�aUfW\Y��Wcad`�hY�X»�`UVcfUh]cb�X»ib�d`Ub�XY�Wcbh]bi]h��X»UWh]j]h�"�il est possible d’entreprendre ibY�X�aUfW\Y�g]ad`]Ã��Y�Yb�gY�f�Z�fUbh�YlW`ig]jYaYbh�Uil�Ã�W\Yg�%�{�,�Yh�%(�{�&+"��
@»YbgYaV`Y�XY�WYg�Ã�W\Yg�j]gY�{�ZUW]`]hYf�`»Uddfcdf]Uh]cb�XY�`U�a�h\cXY�Yh�XYg�VcbbYg�dfUh]eiYg�Yb�U]XUbh�`Yif�hfUbgdcg]h]cb�XUbg�`Y�WcbhYlhY�gd�W]Ã�eiY�{�X]ZZ�fYbhg�hmdYg�d’organisations. 5Ã�b�XY�a]Yil�Yb�g]hiYf�`»cV^YWh]Z �`Yg�Ã�W\Yg�cbh��h��g�f]�Yg�Ui�acmYb�d’un code couleur qui renvoie aux cinq étapes matérialisées par le schéma ci-dessous.
Dans un but pédagogique, les bonnes pratiques
gcbh�]XYbh]��Yg�[f|WY�{�ib�WcXY�Wci`Yif�.�
Fiches de 1 à 5
@Yg�h]hfYg�XYg�Ã�W\Yg�gi]jUbhYg�sont de la couleur correspondant à l’étape indiquée ci-dessus
Fiches de 6 à 8
Fiches de 9 à 14
Fiches de 15 à 20
Fiches de 21 à 27
Mesures recommandées
Mesures déconseillées, ou points d’attention particuliers
démarche d’élaboration d’un plan de continuité
Contexte et besoinsStratégie
de continuité Mise en œuvre
54
8�Ã�b]f�`U�ghfUh�[]Y�de continuité d’activité
3
=XYbh]Ã�Yf �UbU`mgYf �évaluer et traiter
les risques
2
Déterminer les attentes de sécurité pour tenir
les objectifs
1
8��b]f�`Y�WcbhYlhY�=XYbh]�Yf�`Yg�cV^YWh]Zg�
et les activités essentielles
Mettre en œuvre et assurer
l’appropriation
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
les fiches pratiques
18Guide pour réaliser un plan de continuité d’activité
les fiches pratiques Comment lancer une démarche de continuité d’activité ? :=7<9�1
`Yg�d�f]a�hfYg��[�c[fUd\]eiY�Yh�ZcbWh]cbbY` �U]bg]�eiY�̀ Yg�df]bW]dUil�̂ U`cbg�XY�̀ U�a]gg]cb"� IbY�Zc]g�`U�ghfUh�[]Y�XY�Wcbh]bi]h���hUV`]Y�
et validée par la direction de l’organisation,
doivent être impliqués, le moment venu, les
correspondants du PCA, les responsables des
métiers et processus, ainsi que tous les acteurs
concernés par la mise en œuvre d’actions spé-
W]Ã�eiYg �UÃ�b�XY�aYhhfY�Yb�d`UWY�̀ Yg�fYggcifWYg�et procédures nécessaires.
@»YlYfW]WY�Xi�D75�dcif�j�f]Ã�Yf�gcb�f�U`]gaY�Yh�gcb�YZÃ�WUW]h�" L’accompagnement à la conduite du change-
ment dans le cadre de cette démarche.
il est recommandé de : 7cbÃ�Yf�̀ Y�d]`chU[Y�Xi�dfc^Yh�Ui�fYgdcbgUV`Y�
chargé de la gestion des risques au sein de
`»cf[Ub]gUh]cb"�±�X�ZUih �`Y�fYgdcbgUV`Y�Yb�charge du métier le plus impliqué dans les
activités essentielles de l’organisation, ou le
responsable chargé de l’écoute des clients,
peuvent être désignés.
8cbbYf�Ui�fYgdcbgUV`Y�Xi�dfc^Yh�D75�̀ »Uihc!nomie et l’autorité, éventuellement par délé-
gation, sur l’ensemble des responsables de
l’organisation et des acteurs concernés par les
YZZYhg�WcbhfY�̀ YgeiY`g�cb�W\YfW\Y�{�gY�dfch�[Yf" Maintenir en place la structure de gestion
XY�D75�ibY�Zc]g�eiY�̀ U�dfYa]�fY�jYfg]cb�U��h��validée.
il est déconseillé de : 7cbÃ�Yf�`Y�d]`chU[Y�X»ib�dfc^Yh�XY�D75�{�ib�
fYgdcbgUV`Y�]bZcfaUh]eiY�ci�Ui�fYgdcbgUV`Y�XYg�gYfj]WYg�[�b�fUil �ei]�b»Uifcbh�dUg�`U�vision « métier » de l’organisation.
condition première du succès, la direction de l’organisation doit s’impliquer fortement dans la démarche. 8�g�̀ Y�̀ UbWYaYbh �]`�g»U[]fU�XY�Wcaaib]eiYf�Yb�Yld`]eiUbh�̀ Yg�Ã�bU`]h�g�Yh�XY�acV]`]gYf�̀ Yg�responsables des métiers et des processus.
Par la suite et durant toute la phase d’éla-
boration du PCA, la direction devra valider
`Yg�f�gi`hUhg�giWWYgg]Zg�.� 8YgWf]dh]cb�Xi�WcbhYlhY �XYg�cV^YWh]Zg�Yh�
obligations de l’organisation.
Cartographie des processus clés pour la
Wcbh]bi]h� �XYg�b]jYUil�XY�gYfj]WY�Yh�X»]b!terruption acceptables.
7Ufhc[fUd\]Y�XYg�f]geiYg�Yh�]XYbh]Ã�WUh]cb�XY�WYil�ei]�^igh]Ã�Ybh�ib�hfU]hYaYbh�df]cf]!taire, compte tenu de l’attitude de l’organi-
gUh]cb�ZUWY�Ui�f]geiY"� Stratégie de continuité avec l’optimisation
des coûts de continuité tenant compte du
coût de l’interruption d’activité, du niveau
de continuité souhaité et du risque résiduel.
Moyens et procédures nécessaires à la
mise en œuvre et au suivi du plan de conti-
nuité (y compris sa composante de reprise
d’activité).
les autres conditions du succès sont : Ib�hfUjU]`�df�U`UV`Y�dcif�ZcfaU`]gYf�`Yg�
activités et processus de l’organisation avec
la nomination de responsables des métiers
et des processus.
@U�X�g][bUh]cb�X»ib�W\YZ�XY�dfc^Yh�{�`»Ui!hcf]h�� fYWcbbiY �Yh�X»ibY��ei]dY�dfc^Yh�ei]�aUfeiYfcbh�`Y�`UbWYaYbh�cZÃ�W]Y`�XY�`U�démarche. Cette désignation doit s’accom-
dU[bYf�X»ib�aUbXUh�df�W]gUbh�̀ Yg�cV^YWh]Zg �
comment lancer une démarche de continuité d’activité ?
objectif
@U�f�U`]gUh]cb�X»ib�d`Ub�XY�Wcbh]bi]h��YZÃ�WUWY�Yh�fcVighY�b�WYgg]hY�X»]ad`]eiYf�XY��bcaVfYil�fYgdcbgUV`Yg �XY�WcbXi]fY�XYg�hfUjUil�hfUbgjYfgYg�{�`»cf[Ub]gUh]cb �X»UggifYf�`U�Wc\�fYbWY�XYg�UbU`mgYg�Yh�X»YZZYWhiYf�XYg�UfV]hfU[Yg�XY�b]jYUi�ghfUh�[]eiY"�
les fiches pratiques :U]fY�`Y�W\c]l�X»ibY�X�aUfW\Y�Wcad`�hY�ci�g]ad`]Ã��Y :=7<9�2
19Guide pour réaliser un plan de continuité d’activité
@U�X�aUfW\Y�g]ad`]��Y consiste, partant
XYg�YZZYhg�dcgg]V`Yg�gif�̀ Y�ZcbWh]cbbYaYbh�XY��̀»cf[Ub]gUh]cb�Yh�Yb�bY�g»]bh�fYggUbh�ei»Uil�actions qui permettent de résister au choc,
à maintenir les activités essentielles puis
à assurer une reprise normale de l’activité.
Cette démarche, qui ne permet pas d’appré-
cier globalement les priorités d’action, peut
néanmoins, dans un premier temps, être
dissociée de la démarche de gestion du risque,
laquelle pourra être conduite ultérieurement
par une approche itérative. Dans l’urgence, un PCA spécialisé sur un scénario peut être construit de cette manière. Cette démarche
est néanmoins déconseillée car elle est source
XY�hfUjUil�fYXcbXUbhg �XY�ai`h]d`]WUh]cb�XY�scénarios, et susceptible de démotiver les
fYgdcbgUV`Yg�Wcbgi`h�g�XY�aUb]�fY�f�d�h]h]jY"
la démarche complète s’inscrit dans la conti-
nuité de la politique de gestion des risques
de l’organisation. Cette démarche est la plus
avantageuse"�9``Y�dYfaYh�XY�X�Ã�b]f�̀ Yg�gW�bU!f]cg�g][b]Ã�WUh]Zg (car il n’est pas possible d’être
Yl\Uigh]Z� �fUh]cbU`]gYf�`Yg�W\c]l�Yh�a]Yil��̂igh]Ã�Yf�Uidf�g�XY�`U�X]fYWh]cb �[f|WY�{�ibY�vue globale, les investissements nécessaires.
La gestion de risque permet en outre de a]Yil�connaître les conséquences possibles ainsi que
leur probabilité d’occurrence (ou plausibilité)
et donc de X�Ã�b]f�fUh]cbbY``YaYbh�̀ U�ghfUh�[]Y�de continuité d’activité.
objectif
@Y�D75�g»]bgWf]h�XUbg�ibY�X�aUfW\Y�[`cVU`Y�XY�f�g]`]YbWY�ei]�]bh�[fY��[U`YaYbh�la gestion du risque (notamment les plans de prévention et de protection).
Néanmoins, pour satisfaire une contrainte de temps ou lorsque la démarche de ges-h]cb�Xi�f]geiY�b»Ygh�dUg�YbWcfY�Yb�d`UWY �ibY�UddfcW\Y�g]ad`]Ã��Y�Ygh�dcgg]V`Y"
Faire le choiX d’une démarche coMplÈte ou siMpliFiée
Fiches 1 à 27
Démarche complète
Fiches 1 à 8 et 14 à 27
8�aUfW\Y�g]ad`]��Y
=XYbh]Ã�WUh]cb�XYg�gW�bUf]cg�Yh�XYg�Wcbg�eiYbWYg Analyse des exigences Stratégie de continuité
diFFérentes approches pour élaborer un pca
Gestion du risque : mesures d’évitement, assurance, prévention, protection,
intervention
Besoins de continuité (RH, SI, Infra,
dUfhYbU]fYg#�il�
Élaboration du PCA
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
Scénarios de conséquences
possibles
20Guide pour réaliser un plan de continuité d’activité
les fiches pratiques 8��b]f�`Y�d�f]a�hfY�Xi�D75� :=7<9�3
deux questions reviennent fréquemment : pour une organisation donnée, vaut-il mieux réaliser un pca unique ou réaliser un pca pour chacun des établissements/sites ? est-il perti-nent d’avoir un pca unique « tous risques » ou des pca spécialisés par risques ?�Cb�dciffU]h�répondre que, par principe, le PCA unique
Ygh�h\�cf]eiYaYbh�df�Z�fUV`Y�WUf�]`�dYfaYh�XY�aYbYf�ibY�X�aUfW\Y�Yl\Uigh]jY�Yb��j]!tant la redondance des démarches de recueil
de données, de conception et de validation.
Cependant, le paysage des organisations
diV`]eiYg�Yh�df]j�Yg�Ygh�Wcadcg��XY�X]gdcg]h]Zg�ZcbWh]cbbY`g�Yh�XY�g]hiUh]cbg�X»cf[Ub]gUh]cb�hf�g�X]ZZ�fYbhg"�=`�ZUih�XcbW�g»UXUdhYf�Ui�WUg�dUf�WUg�dcif�X�Ã�b]f�`Y�d�f]a�hfY�Xi#XYg�D75�à mettre en place.
@U�X�Ã�b]h]cb�Xi�d�f]a�hfY�Xc]h�X»UVcfX�résulter d’une analyse du contexte ainsi que des champs géographique et organisationnel pris en compte. Certaines parties de l’organi-
gUh]cb�dYijYbh��hfY�YlW`iYg �gc]h�dUfWY�ei»Y``Yg�X]gdcgYbh�X�^{�X»ib�D75��dfcij� �gc]h�dUfWY�ei»Y``Yg�fY`�jYbh�X»cV^YWh]Zg�Yh�X»cV`][Uh]cbg�hf�g�gd�W]Ã�eiYg��dUf�YlYad`Y�dcif�ibY�Ã�`]U`Y�hf�g�UihcbcaY�`cWU`]g�Y�{�`»�hfUb[Yf�"�=`�Yb�résulte généralement l’établissement de plu-
sieurs PCA distincts sous la responsabilité des
dirigeants des organisations respectives. Dans
des grandes organisations internationales on
dYih�hfcijYf�U]bg]�d`ig]Yifg�X]nU]bYg �jc]fY�plusieurs centaines de PCA. Dans ces cas de
Ã�[ifY�]`�Ygh�WcbgY]``��XY�X�Ã�b]f�ib�acX�`Y�XY�D75�UjYW�ib��W\UdYUi�®�ib]eiY �ib�ZcfaUh�hmdY �Yh�XY�̀ Y�ZU]fY�X�W`]bYf�XY�aUb]�fY�UXUdh�Y�dUf�`Yg�X]f][YUbhg�`cWUil"
@U�X�Ã�b]h]cb�Xi�d�f]a�hfY�f�gi`hY�Ybgi]hY�d’une analyse fonctionnelle. L’analyse des
cV^YWh]Zg�Yh�XYg�cV`][Uh]cbg�XY�`»cf[Ub]gUh]cb�permet la description des activités essentielles
ainsi que des processus et ressources qui sont
critiques pour ces activités. Par suite, l’analyse
du risque et des conséquences des sinistres,
U]bg]�eiY�`»]XYbh]Ã�WUh]cb�XYg�gW�bUf]cg�df]c!ritaires à prendre en compte, permettent de
`]a]hYf�̀ Y�d�f]a�hfY�ZcbWh]cbbY`�Uil�g]hiUh]cbg�les plus graves nécessitant une mobilisation
de l’organisation. Ainsi, certains scénarios de
Wf]gY �ei]�fYei]�fYbh�gYi`YaYbh�`»]ad`]WUh]cb�X»ib�dYh]h�bcaVfY�XY�dYfgcbbYg��YlYad`Y�X»ibY�Wf]gY�^if]X]eiY�g]ad`Y��bY�Xc]jYbh�dUg�ih]`YaYbh�ZU]fY�dUfh]Y�Xi�D75"�
Un organisme qui disposerait déjà de plu-sieurs PCA sectoriels (pour répondre à une
dUbX�a]Y �ibY�WfiY �ibY�dUbbY�]bZcfaUh]eiY¯��Yh�ei]�gYfU]h�gUh]gZU]h�XY�WYg�D75 �dYih�X�W]XYf�de les conserver. Dans cette perspective, il est
cependant recommandé de les agréger dans
un PCA global, en créant un « tronc commun »
et en prenant en compte des scénarios com-
d`�aYbhU]fYg �]XYbh]Ã��g�Yb�̀ ]U]gcb��hfc]hY�UjYW�le directeur des risques. À l’occasion de cette
démarche, certains PCA sectoriels peuvent
�hfY�fYjig�WUf�`Y�WcbhYlhY�Yh�`Yg�UhhYbhYg�XY�l’organisation peuvent avoir changé10. Il résulte
�[U`YaYbh�XY�WYhhY�XYfb]�fY�fYWcaaUbXUh]cb�que les situations de sinistres consécutives à
des actes de nature terroriste (cas notamment
des opérateurs d’importance vitale qui décli-
nent les scénarios de menace prescrits par
une directive nationale de sécurité) doivent
être incluses dans les scénarios du PCA. Dans
WY�WUg�XY��[ifY �`Yg�Xcbb�Yg�Wcb�XYbh]Y``Yg�gcbh�fY[fcid�Yg�XUbg�XYg�UbbYlYg�dfch�[�Yg�WcbZcfa�aYbh�{�`U�f�[`YaYbhUh]cb"�
objectif
Une approche méthodologique souple et quelques bonnes pratiques permettent
X»YbhfYdfYbXfY�YZÃ�WUWYaYbh�ibY�X�aUfW\Y�XY�D75 �XUbg�ib�d�f]a�hfY�UXUdhUV`Y"�
déFinir le périmÈtre du pca
%$�#�7Y�WUg�XY�Ã�[ifY�dYih��hfY�]``ighf��UjYW�`»YlYad`Y�X»ib�D75�]bZcfaUh]eiY��ci�D7=��ei]�j]gU]h�{�`»cf][]bY�`U�X]gdcb]V]`]h��]bZcfaUh]eiY�Yh�eiY�`»cb�ZU]h��jc`iYf�Yb�dfYbUbh�Yb�WcadhY�`Y�VYgc]b�X»]bh�[f]h���f]geiY�XY�dYfhY�ci�XY�acX]Ã�WUh]cb�X»]bZcfaUh]cb�gYbg]V`Yg��Yh#ci�XYg�gW�bUf]cg�nouveaux. notons à ce sujet ei»]`�Ygh�X�WcbgY]``��XY�aYhhfY�Yb�d`UWY�ib�d`Ub�XY�Wcbh]bi]h��]bZcfaUh]eiY��D7=��ci�ib�d`Ub�XY�Wcbh]bi]h��a�h]Yf��D7A� �g»]`g�bY�gcbh�dUg�]bh�[f�g�XUbg�ib�D75�[`cVU`"
21Guide pour réaliser un plan de continuité d’activité
les fiches pratiques =XYbh]�Yf�`Yg�cV^YWh]Zg�Yh�UWh]j]h�g�YggYbh]Y``Yg� :=7<9�4
il faut préalablement connaître et compren-dre le contexte…@»UbU`mgY�Xi�WcbhYlhY�Ygh�ib�df�U`UV`Y�WUf�W»Ygh�Y``Y�ei]�dYfaYh�XY�df�W]gYf�`Y�d�f]a�hfY��[�c[fUd\]eiY �cf[Ub]gUh]cbbY`�Yh�ZcbWh]cbbY`��qui sera couvert par le PCA, les activités et
Yb^Yil�XY� `»cf[Ub]gUh]cb �gYg�cV^YWh]Zg�Yh�gYg�WcbhfU]bhYg��YlhYfbYg�Yh�]bhYfbYg� �`Yg�acteurs clés ainsi que les moyens techniques
et humains dont elle dispose ou peut disposer.
L’analyse du contexte permet d’abord de préciser le périmètre de l’organisation pris en compte. L’entité qui rédige le PCA peut être
`»cf[Ub]gUh]cb�Wcad`�hY��`»YbhfYdf]gY�ci�̀ »UXa]!b]ghfUh]cb� �ibY�X]fYWh]cb�ci�ib]h���X»UZZU]fYg �ci�ib�WYbhfY�hYW\b]eiY"�@Y�d�f]a�hfY�g»Yldf]aY�en termes organisationnel, géographique ou
ZcbWh]cbbY`"�L’analyse du contexte permet également d’apprécier les niveaux de risques acceptables pour l’organisation.
¯dcif�]XYbh]Ã�Yf�`Yg�UWh]j]h�g�ei]�gcbh�b�WYg!saires à l’accomplissement des objectifs ou mis-sions de l’organisation… Les activités sont généralement les grands
V`cWg�ZcbWh]cbbY`g�]XYbh]Ã��g�XUbg�`»cf[Ub]!gramme, matérialisés par des grandes direc-
h]cbg �dUf�YlYad`Y�`Yg�UW\Uhg �`Yg�fYggcifWYg�humaines, la chaîne logistique, la production,
`Y�WcaaYfW]U` �̀ Yg�Ã�bUbWYg"�7YfhU]bYg��UWh]j]h�g�dYijYbh��hfY�YlW`iYg �dUf�YlYad`Y�dUfWY�qu’elles sont autonomes et disposent de leur
propre PCA.
… préciser les apports de ces activités pour le fonctionnement de l’organisation, les rela-tions avec les partenaires, la performance et la création de valeur…7Y�hfUjU]`�dYfaYh�X»]XYbh]Ã�Yf�`Yg�UWh]j]h�g�ei]�gcbh�YggYbh]Y``Yg�Ui�ZcbWh]cbbYaYbh�XY�`»cf[Ub]gUh]cb�dcif�`»UhhY]bhY�XY�gYg�cV^YWh]Zg�et le respect de ses obligations. Certaines
activités qui ne sont pas dans le « cœur de
métier » peuvent néanmoins être essentielles
Ui�gYbg�c��`Yif�bcb!ZcbWh]cbbYaYbh�dciffU]h�YbhfUjYf�̀ U�dcifgi]hY�XYg�cV^YWh]Zg�ci�̀ U�hYbiY�des obligations.
…et décrire les objectifs ou enjeux principaux de chaque activité essentielle.�=`�g»U[]h�X»cV^YWh]Zg�eiU`]hUh]Zg�ci�eiUbh]hUh]Zg �ei]�dYijYbh��hfY�Yldf]a�g�Yb�hYfaYg�Ã�bUbW]Yfg �de part de marché, de niveau de service, de
productivité, et concerner des aspects straté-
giques ou opérationnels.
DUf�YlYad`Y�.�5ggifYf�`Y�aY]``Yif�gYfj]WY�Uil�igU[Yfg�ci�
clients.
7cbhf]ViYf�{�`U�Zcifb]hifY�XY�dfYghUh]cbg�Ã�UV`Yg�Yh�XY�eiU`]h�"�8]a]biYf�`Yg�Wc�hg�XY�ZcbWh]cbbYaYbh"�ËhfY�WUdUV`Y�X»U[]`]h��dcif�g»UXUdhYf�Uil�
changements.
identiFier les obJectiFs et les activités essentielles
les
Fich
es p
rati
qu
esle
s an
neX
es
3
4
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
2
1
pou
rqu
oi é
labo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?
22Guide pour réaliser un plan de continuité d’activité
les fiches pratiques 7Ufhc[fUd\]Yf�`Yg�dfcWYggig�Yh�`Yg��il�Yh�X��b]f�`Yif�Wf]h]W]h� :=7<9�5
les processus peuvent être propres à une activité ou être communs à plusieurs activi-tés et comme ils sont souvent associés à un
gmgh�aY�X»]bZcfaUh]cb �`U�WUfhc[fUd\]Y�XYg�gmgh�aYg�X»]bZcfaUh]cbg�dYih�U]XYf�{�̀ Yg�]XYbh]!Ã�Yf"�@Yg�Ä�il�WcbWYfbYbh�̀ Yg��W\Ub[Yg�Yb�Ybhf�Y�ci�gcfh]Y�XYg�gmgh�aYg�X»]bZcfaUh]cb�/�U]bg]�que les échanges physiques : électricité, eau,
aUh]�fYg�dfYa]�fYg"
les processus critiques�gcbh�WYil�ei]�gcbh�essentiels pour le maintien de l’activité. Ce
hfUjU]`�X»]XYbh]Ã�WUh]cb�Xc]h��hfY�f�U`]g��{�dUfh]f�d’entretiens avec les responsables des métiers
Yh�XYg�dfcWYggig"�@»]XYbh]Ã�WUh]cb�XYg�VYgc]bg�Yh�ressources nécessaires associées est présentée
XUbg�`Yg�Ã�W\Yg�gi]jUbhYg"�@»UbU`mgY�XYg�dfc!WYggig�Xc]h�WcadfYbXfY�`»]XYbh]Ã�WUh]cb�XYg�]bhYfZUWYg��XcbbYifg�X»cfXfY �dfYghUhU]fYg�"�La cartographie des processus critiques doit
être validée par la direction.
il est recommandé de cartographier les
processus de l’organisation.
il est très fortement recommandé de cartogra-
d\]Yf�̀ Yg�Ä�il�YbhfY�̀ Yg�gmgh�aYg�X»]bZcfaUh]cb�giddcfhUbh�̀ Yg�X]ZZ�fYbhg�dfcWYggig�XY�̀ »cf[Ub]!gUh]cb�/�WYhhY�WUfhc[fUd\]Y�Ygh�b�WYggU]fY�dcif�la détermination des impacts qui devront être
hfU]h�g�dUf�̀ Y�d`Ub�XY�Wcbh]bi]h��]bZcfaUh]eiY"�9``Y�gY�X�W`]bY�UggYn�bUhifY``YaYbh�{�dUfh]f�XY�la cartographie des processus.
objectif
7\UeiY�UWh]j]h��YggYbh]Y``Y�U�VYgc]b�XY�dfcWYggig�Yh�XY�Ä�il�dcif�ZcbWh]cbbYf"�=`�g»U[]h�dUf�YlYad`Y�XY�`U�dUmY �Xi�gmgh�aY�XY�df]gY�XY�WcaaUbXY �Xi�gmgh�aY�XY�`]jfU]gcb �XY�̀ U�W\U�bY�`c[]gh]eiY �Xi�Ä�il�XY�aUh]�fY�dfYa]�fY �YhW"�@U�WUfhc[fUd\]Y�XYg�dfcWYggig �XYg�Ä�il�Yh�XY�`Yif�Wf]h]W]h��dYfaYh�XY�a]Yil�en appréhender les relations.
cartographier les processus et les FluX et déFinir leur criticité
activités et processus
Description des activités de l’organisation
Activité 1
Activité 2
Activité 3
Activité 4
Chaque activité s’appuie sur des processus ci�XYg�Ä�il
Les processus ont des besoins de sécuritéqui nécessitent des ressources
Processus 3 (i.e. fabrication)
Processus 4 (i.e. approvisionnement)
Processus 5 (i.e. maintenance)
Processus 5 (i.e. commande) Besoins -----> Ressources
Besoins -----> Ressources
Besoins -----> Ressources
Besoins -----> Ressources
Besoins -----> Ressources
Processus 2 (i.e. livraisons)
23Guide pour réaliser un plan de continuité d’activité
=XYbh]�Yf�Yh�ZcfaU`]gYf�`Yg�VYgc]bg�XY�Wcbh]bi]h� :=7<9�6
objectif
Dcif�aU]bhYb]f�`»UWh]j]h��Ui�b]jYUi�Yl][��dUf�`Yg�cV^YWh]Zg�Yh�cV`][Uh]cbg��]XYbh]Ã��g �`Yg�dfcWYggig�Xc]jYbh�f�dcbXfY�{�XYg�cV^YWh]Zg�XY�g�Wif]h� �eiY�`»cb�UddY``Y��UhhYbhYg�®�ci��VYgc]bg�®�Yh�ei]�Xc]jYbh��hfY�]XYbh]Ã��g"
identiFier et Formaliser les Besoins de continuité
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
2.3page 1/2
À partir des discussions avec les respon-
sables des métiers, il est possible de dégager
des attentes, qui peuvent être sériées par
Wf]h�fYg �gcig�`U�ZcfaY�8"="7"H"9"G"�.
disponibilité, continuité de service, régu-
`Uf]h� �f�g]ghUbWY�Uil�XmgZcbWh]cbbYaYbhg�Yh�Uil�fidhifYg �fcVighYggY"�7YW]�Xc]h�dcijc]f��hfY�aYgifUV`Y �dUf�YlYad`Y�Yb�hYfaYg�XY��UV]`]h��XYg�dfYghUh]cbg"
intégrité, c’est-à-dire que le service/produit
livré est bien celui attendu, dans l’état pres-
crit. Si ce n’est pas le cas, le service n’est pas
rendu, conduisant à un arrêt (plus ou moins
long) du service.
7cbÃ�XYbh]U`]h� �dfchYWh]cb�XYg�]bZcfaUh]cbg�gYbg]V`Yg"�IbY�dYfhY�XY�WcbÃ�XYbh]U`]h��dYih�WcbXi]fY�{�`»Uff�h�XY�WYfhU]bYg�UWh]j]h�g�hf�g�gYbg]V`Yg �jc]fY�{�̀ U�ZU]``]hY�XY�WYfhU]bYg�cf[U!b]gUh]cbg��WZ"�`Yg�WUg�df�gYbh�g�Yb�UbbYlY�"
traçabilité, visibilité, connaissance des
�j�bYaYbhg"�@U�hfU�UV]`]h��dYih��hfY�]bX]g!pensable pour permettre d’assurer des pres-
hUh]cbg��dUf�YlYad`Y�̀ Y�hfUbgdcfh�XY�aUh]�fYg�dangereuses).
évolutivité,�WUdUW]h��{�g»UXUdhYf�Uil�W\Ub!gements et à l’environnement et donc à
assurer la robustesse. L’absence d’évolutivité
dYih�WcbXi]fY�{�`»Uff�h�XUbg�XYg�WcbhYlhYg�changeants.
sûreté,�WUdUW]h��{�`]a]hYf�`Yg�YZZYhg�X»UWhYg�malveillants.
lors de cette étape, il est souhaitable de �eiUbh]Ã�Yf�`Y�b]jYUi�Xi�VYgc]b�XY�Wcbh]bi]h� �en utilisant trois indicateurs :
1. le niveau de service minimum (une perte
XY�gYfj]WY�ei]�aU]bh]Ybh�`Y�ZcbWh]cbbYaYbh�Ui!XYggig�XY�WY�gYi]`�UZZYWhY�dYi�`Y�gYfj]WY�Ã�bU`"�5�WcbhfUf]c�ibY�dYfhY�XY�b]jYUi�XY�gYfj]WY�en dessous de ce seuil est considérée comme
ibY�]bX]gdcb]V]`]h��"�7Y�gYi]`�dYih��hfY�X��b]�WcaaY�ib�dcifWYbhU[Y�XY�WcbZcfa]h��a]b]!mum ou un pourcentage de produits/services
commandés livrés à la date/heure convenue.
8ifUbh�̀ U�d\UgY�XY�fYdf]gY�X»UWh]j]h��Udf�g�ib�g]b]ghfY �]`�Ygh�dcgg]V`Y�XY�X�Ã�b]f�XYg�gYi]`g�d`ig�ZU]V`Yg �Yb�acXY�X�[fUX�"
2. le niveau d’indisponibilité minimum. Tout
Uff�h�XY�Xif�Y�]bZ�f]YifY�{�WY�b]jYUi�Ygh�hc`�!rable. Pour des indisponibilités de courtes
Xif�Yg�Yh�fY`Uh]jYaYbh�Zf�eiYbhYg�`»Yl][YbWY�Ygh�Yldf]a�Y�Yb�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb�Yh�Yb�Zf�eiYbWY�aUl]aU`Y �WY�ei]�gY�WcaV]bY�en pourcentage de temps d’indisponibilité
dYbXUbh�ibY�Xif�Y�g][b]Ã�WUh]jY"�Dcif�WY�ei]�WcbWYfbY�ib�g]b]ghfY �fUfY�dUf�X�Ã�b]h]cb �`U�aYgifY�gY�ZU]h�dUf�`U�Xif�Y�aUl]aU`Y�X»]bhYf!ruption de service acceptable (DMIA).
3. les ressources qui restent indispensables
dcif�dYfaYhhfY�`U�fYdf]gY�X»UWh]j]h�"�9``Yg�dYijYbh�g»Yldf]aYf�Yb�eiUbh]h��XY�ghcW_�{�df�gYfjYf �XY�`cWUil�XY�fYd`] �ci�XY�b]jYUi�XY�a]gY�{�^cif�XYg�Xcbb�Yg�gUijY[UfX�Yg��WY�ei]�fYj]Ybh�{�X�Ã�b]f�̀ U�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y �XYdi]g�`U�XYfb]�fY�sauvegarde).
page suivante
24Guide pour réaliser un plan de continuité d’activité
les fiches pratiques =XYbh]�Yf�Yh�ZcfaU`]gYf�`Yg�VYgc]bg�XY�Wcbh]bi]h� :=7<9�6
%%�#�=`�dYih��hfY�gi[[�f��XY�aYhhfY�Yb�d`UWY�XYg�gYfjYifg�]bZcfaUh]eiYg�UWWYgg]V`Yg�gif�=bhYfbYh��j]U�XYg�`]Ybg�g�Wif]g�g�Yh�dfch�[�g��UÃ�b�XY�dYfaYhhfY�`Y�ZcbWh]cbbYaYbh�XYg�df]bW]dUil�a�h]Yfg�Yb�acXY�X�[fUX�"�9b�YZZYh�`Y�giddcfh�dUd]Yf�b»Ygh�[�b�fU`YaYbh�dUg�giZÃ�gUbh�dcif�permettre un fonctionnement satisfaisant en mode dégradé.
Mode dégradé : durée maximale 3 mois, avec la paye assurée par des provisions sur salaire.
Reprise de la paye normale
DMIA du mode normal : 3 mois
DMIA du mode dégradé : 3 jours
Pour illustrer la notion de DMIA, on peut
W]hYf�`»YlYad`Y�Xi�dfcWYggig�XY�`]jfU]gcb�ci�XY�Zcifb]hifY�XY�WYfhU]bg�dfcXi]hg�ci�gYfj]WYg�sensibles qui ne peut accepter un délai de
retard (DMIA) supérieur à 12 heures (ce peut
être le cas d’une livraison de médicaments),
ou supérieur à 30 minutes (une intervention
XY�gYfj]WY�X»if[YbWY�dUf�YlYad`Y�"8Ubg�ib�UihfY�XcaU]bY �cb�dYih�W]hYf�̀ »YlYad`Y�d’un processus de paye qui ne peut pas accep-
hYf�ib�fYhUfX��8A=5��gid�f]Yif�{�hfc]g�^cifg �en mode dégradé (avec un versement de
provisions sur salaires). Cette possibilité de
dcijc]f�ZcbWh]cbbYf�Yb�acXY�X�[fUX��dYfaYh�ibY�]bhYffidh]cb�aUl]aU`Y��8A=5��Xi�ZcbW!tionnement normal de plusieurs mois. Une
UihfY�Zcfai`Uh]cb�Wcbg]ghY�{�X]fY�eiY�̀ U�Xif�Y�aUl]aU`Y�XY�ZcbWh]cbbYaYbh�Yb�acXY�X�[fUX��est de plusieurs mois :
le mode dégradé est souvent présenté
WcaaY�ib�dU``]Uh]Z�gUbg�ei»]`�m�U]h�ibY�UbU`mgY�précise de son contenu. Cependant, pour tout
mode dégradé il convient de :
�8�Ã�b]f�̀ Yg�W]fWcbghUbWYg�XY�gU�a]gY�Yb�d`UWY" Intégrer les aspects réglementaires spé-
W]�Z]eiYg�Ui�acXY�X�[fUX���Yh�bchUaaYbh�`Yg�acX]Ã�WUh]cbg�Ybj]gU[YUV`Yg�XYg�hYlhYg�réglementaires dans des circonstances
YlWYd��h]cbbY``Yg�"
�8�Ã�b]f�XYg�dfcW�XifYg�gd�W]Ã�eiYg�Yh�XYg�aYgifYg�X»cfXfY�^if]X]eiY"�Dcijc]f�hfUbgZ�fYf�̀ Y�dYfgcbbY`�gif�XYg�dcghYg�
bcijYUil" Faire éventuellement appel à l’intérim.
�FYgdYWhYf�`Yg�hYlhYg�f�[`YaYbhU]fYg�gd�W]!Ã�eiYg��WcaaY�XUbg�`Y�XcaU]bY�Xi�hfUbgdcfh�XY�jcmU[Yifg�ZYffcj]U]fY�ci�U�f]Yb �UjYW�XYg�X]gdcg]h]Zg�dYfaYhhUbh�X»UXUdhYf�`Yg�acmYbg�XY�hfUbgdcfh�Uil�fYggcifWYg�\iaU]bYg�X]gdc!nibles, dans le cadre d’un dialogue social).
Disposer de solutions de dernier secours,
connues et rapidement mises en œuvre11.
il est recommandé�XY�ZU]fY�jU`]XYf�`Y�b]jYUi�dégradé, qu’il est prévu de maintenir en
période de crise, par les représentants des
clients.
La description de chaque niveau dégradé doit
b�WYggU]fYaYbh�Yld`]W]hYf�. Le délai avec lequel il est mis en place.
La durée pendant laquelle on peut
s’en accommoder avant un retour à un
�ZcbWh]cbbYaYbh�bca]bU`��ci�ac]bg�X�[fUX� �g]�d`ig]Yifg�b]jYUil�gcbh�X�Ã�b]g�UjUbh�ib�fYhcif�à la normale).
�@Yg�acXU`]h�g�UWWYdhUV`Yg�XY�ZcbWh]cbbYaYbh�en mode dégradé.
page 2/2
25Guide pour réaliser un plan de continuité d’activité
les fiches pratiques =XYbh]�Yf�`Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�`Yg�fYggcifWYg�Wf]h]eiYg� :=7<9�7
ces moyens, appelés « ressources critiques », peuvent être différenciés en cinq catégories :
Infrastructures��V|h]aYbhg �`cWUil �acmYbg�de transport…).
Systèmes d’information��gmgh�aYg�]bZcf!matiques, serveurs, moyens de télécommu-
b]WUh]cb � f�gYUi� `cWU` �aYggU[Yf]Y �UWW�g�Internet…).
Ressources humaines (équipes disponibles,
fYbZcfhg �dYfgcbbYg�W`YZg �eiU`]Ã�WUh]cbg �Wca!pétences, motivation…).
Ressources intellectuelles et immatérielles
�Xcbb�Yg�]bhYfbYg �]bZcfaUh]cbg�ghfUh�[]eiYg12,
]bZcfaUh]cbg�{�dfch�[Yf̄ �" Prestations externes (eau, énergie, sous-
hfU]hUbhg¯��ci�dfcXi]hg�Wf]h]eiYg��aUh]�fYg�dfYa]�fYg�fUfYg�"
il est recommandé : D’intégrer dans le PCA de l’organisation le
b]jYUi�X�[fUX��XYg�dfYghUh]cbg�eiY�`Yg�Zcif!nisseurs ont prévu de maintenir en période
de crise.
8»]bh�[fYf�XUbg�`Yg�gmgh�aYg�Wf]h]eiYg�XY�`»cf[Ub]gUh]cb�gcb�gmgh�aY�h�`�d\cb]eiY �gYg�gYfjYifg�XY�Ã�W\]Yfg�Yh�gcb�gmgh�aY�XY�messagerie.
pour l’identification des ressources cri-tiques immatérielles il peut être utile de se
f�Z�fYf�Uil�%$�UWh]Zg�]aaUh�f]Y`g�]XYbh]Ã��g�dUf��̀»CVgYfjUhc]fY�XY�`»]aaUh�f]Y`�(www.observatoire-immateriel.com) :
Les biens immatériels (intellectuels) peuvent
ne pas être inclus. Certaines organisations
Wcbg]X�fYbh�Yb�YZZYh�ei»]`g�fY`�jYbh�XY�ghfiW!
objectif
Dcif�f�dcbXfY�Uil�UhhYbhYg�XY�g�Wif]h��XYg�dfcWYggig�Yh�Ä�il�Wf]h]eiYg�ei]�j]YbbYbh�X»�hfY�X�Ã�b]g �]`�Ygh�b�WYggU]fY�XY�ZcfaU`]gYf�XYg�cV^YWh]Zg�XY�X]gdcb]V]`]h��pour les moyens.
�%&�#�9lYad`Yg�.�d`Ub�ghfUh�[]eiY ��hiXYg�XY�WcbWiffYbWY �Ã�W\]Yfg�W`]Ybhg�Yh�dfcgdYWhg �`]ghY�XYg�Zcifb]ggYifg �WcbhfUhg �Xcbb�Yg�WcadhUV`Yg �dU]Y �Xcgg]Yfg�Xi�dYfgcbbY` �cf[Ub][fUaaY�X�hU]``��XY�`»YbhfYdf]gY �VfYjYhg �d`Ubg �dfcW�X�g�XY�ZUVf]WUh]cb �WcXYg�gcifWYg¯
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
identiFier les besoins de continuitépour les ressources critiques
page 1/2
page suivante
CAPITALHUMAIN
CAPITALSYSTÈMES D’INFO.
CAPITALMARQUES
CAPITALFOURNISSEURS
PARTENAIRES
CAPITALORGANISATIONNEL
CAPITALACTIONNAIRES
CAPITALTECHNOLOGIQUE
CAPITALSOCIÉTAL
CAPITALNATUREL
CAPITALCLIENTS
actiFsimmatériels
26Guide pour réaliser un plan de continuité d’activité
les fiches pratiques =XYbh]�Yf�`Yg�VYgc]bg�XY�Wcbh]bi]h��dcif�`Yg�fYggcifWYg�Wf]h]eiYg�
hifYg�gd�W]Ã�eiYg�Yh�eiY�̀ Y�D75�Xc]h�gY�̀ ]a]hYf�Uil�f]geiYg�cd�fUh]cbbY`g��Wcbg�eiYbWYg�XY�perte de ressource matérielle critique sur
l’activité). Néanmoins leur inclusion dans la
démarche de PCA reste généralement souhai-
table, notamment dans les environnements
concurrentiels.
la formulation des attentes de continuité permet de préciser le périmètre du pca : Le PCA doit prendre en compte les pertes des
fYggcifWYg�Wf]h]eiYg�ei]�[�b�fYbh�̀ U�fidhifY�XY�processus critiques et par voie de conséquence
la perte d’activités essentielles. Néanmoins une
UddfcW\Y�dUf�hfcd�Wcad`YlY�b»Ygh�dUg�fYWca!aUbX�Y"�DUf�YlYad`Y�`U�dYfhY�XY�WcbZcfa]h��^if]X]eiY�Ygh�[�b�fU`YaYbh��hfU]h�Y�gYi`YaYbh�dUf�̀ Y�gYfj]WY�̂ if]X]eiY�Yh�bY�̂ igh]Ã�Y�XcbW�dUg�le déclenchement du PCA.
Il est conseillé de prendre en compte a minima
`U�dYfhY�XYg�fYggcifWYg�X]hYg��XifYg�®�.�]bZfUg!
hfiWhifYg �dYfgcbbY` �gmgh�aYg�X»]bZcfaUh]cb �dfYghUh]cbg�YlhYfbYg�Yh�aUh]�fYg�dfYa]�fYg" La prise en compte des ressources imma-
h�f]Y``Yg�Ygh�fYWcaaUbX�Y"�7Y�W\c]l�dYih�X�dYbXfY�XYg�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb�Yh�XY�gcb�WcbhYlhY" @Y�W\c]l�Xi�d�f]a�hfY�Ã�bU`�Xi�D75�fY`�jY�XY�
la direction générale.
la formulation des attentes permet aussi de calculer les coûts de pca :Les attentes de continuité se traduisent par des
Yl][YbWYg�XY�Wcbh]bi]h��gif�`Yg�fYggcifWYg�Wf]!h]eiYg �ei]�[�b�fYbh�XYg�Wc�hg�XY�aU]bh]Yb��Xid`]!cation, redondance, site de secours, astreintes,
matériel de protection individuel, etc.).
Ces coûts sont analysés au cours de l’étape 4,
relative à l’équilibre entre le coût de maintien
de ressources critiques et le coût d’arrêt de
`»UWh]j]h� �ei]�dYfaYhhfU�XY�X�Ã�b]f�̀ U�ghfUh�[]Y�de continuité.
:=7<9�7
page 2/2
27Guide pour réaliser un plan de continuité d’activité
les fiches pratiques Mesurer les conséquences d’une interruption de service :=7<9�8
une indisponibilité est mesurable en termes de coûts : Humain (protection des travailleurs…).
DUfh�XY�aUfW\���dYfhY�XY�W\]ZZfY�X»UZZU]fYg �perte de clients...).
Conséquences des engagements commer-
W]Uil�Yh�WcbhfUWhiY`g��d�bU`]h�g �f�g]`]Uh]cbg¯�" 7cbg�eiYbWYg�^if]X]eiYg��Wc�h�f�gi`hUbh�Xi�
respect des obligations légales et réglemen-
taires, sanctions possibles, responsabilité
pénale du dirigeant…).
Impacts opérationnels (coûts de répa ra tion …).
7cbg�eiYbWYg�gcW]U`Yg��W\�aU[Y�hYW\b]eiY �impact sur les partenaires…).
Conséquences psychologiques (démotivation,
perte de moral…).
Conséquence sur l’environnement (pol lution...).
Conséquences sur des partenaires situés en
UjU` �jc]fY�Ui�b]jYUi�Xi�ZcbWh]cbbYaYbh�XY�la société.
Perte de valeur, d’image ou de réputation, et
XcbW�dYfhY�XY�WcbÃ�UbWY�ci�XY�aUfW\� �jc]fY�perte de l’activité.
objectif
@Yg�Wcbg�eiYbWYg�X»ibY�dYfhY�X»UWh]j]h��cbh�ib�Wc�h�Yh�]`�Yl]ghY�ib�gYi]`�X»]bhYffidh]cb�hc`�fUV`Y�Ui�fY[UfX�XYg�cV^YWh]Zg�Yh�Yb^Yil�XY�`»UWh]j]h�"�Ces données sont mesurables.
mesurer les conséquences d’une interruption de service
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Activité Processus Humain Financier Contractuel Environnement Juridique et réglementaire Opérationnel Social Perte
d’image
Commercialprise de
commande 1 4 2 1 1 3 1 3
Commercialrelation
client1 3 3 1 1 3 2 3
Commercial niveau de service 2 3 4 2 3 2 2 3
Commercial livraison 2 2 4 1 1 4 2 3
achat approvisionnement 1 3 2 2 3 3 2 3
production Fabrication 4 3 4 3 2 3 3 2
logistique GhcW_U[Y 1 4 2 2 1 3 2 1
ressources
humainespaye 1 3 é 1 3 1 4 2
Finances Facturation 1 4 2 1 1 1 1 2
1 = très faible - 2 = faible - 3 = fort - 4 = très fort
eXemple de mesure des conséquences de l’interruption de service et donc de la criticité de chaque processus
page 1/2
page suivante
28Guide pour réaliser un plan de continuité d’activité
les fiches pratiques Mesurer les conséquences d’une interruption de service :=7<9�8
le nom du processus le nom du responsable la description du processus (avec les enjeux et contraintes)�`Yg�]bhYfZUWYg�Yh�Ä�il�YlhYfbYg les activités métier rattachées le niveau de service minimum (et modes dégradés acceptables) les attentes en matière de continuité (dmia, prma) l’appréciation de la criticité du processus les conséquences (et les coûts) d’une interruption d’activité les ressources critiques associées les interdépendances critiques (en amont, en aval, avec des partenaires)
±�WY�ghUXY�]`�Ygh�dcgg]V`Y�X»�hUV`]f�ibY�Ã�W\Y�dUf�dfcWYggig�ZU]gUbh�UddUfU�hfY�.
l’analyse des conséquences d’une interrup-tion d’activité permet de valider la durée maxi-male acceptable (dmia). Ces conséquences
gcbh�dcif�VYUiWcid�X»YbhfY�Y``Yg�W\]ZZfUV`Yg�et permettent ainsi de déterminer un coût (qui
augmente quand la durée de l’interruption
Ui[aYbhY�"�7YfhU]bYg�gcbh�Yb�fYjUbW\Y�X]ZÃ�W]!`YaYbh�W\]ZZfUV`Yg�Yh�fY`�jYbh�XUjUbhU[Y�X»ibY�Uddf�W]Uh]cb�eiU`]hUh]jY��WZ"�̀ U�dYfhY�X»]aU[Y �`U�dYfhY�XY�jU`Yif �`U�dYfhY�XY�WcbÃ�UbWY�"@U�X�Ã�b]h]cb�XY�`»�W\Y``Y�XY�aYgifY �ei]�Xc]h�être la même pour tous les processus et accep-
h�Y�dUf�`Yg�fYgdcbgUV`Yg�XYg�a�h]Yfg�Yh�WYil�des processus, est un point important.
Cette analyse des conséquences de l’inter-
ruption d’activité permet ainsi de préciser le
d�f]a�hfY��ZcbWh]cbbY`�Yh�hYadcfY`��XYg�dfc!WYggig�Wf]h]eiYg �Xcbh�`Y�Vcb�ZcbWh]cbbYaYbh�Xc]h��hfY�df]j]`�[]�"�=`�dYih�g»U[]f�dUf�YlYad`Y�d’une période critique dans l’année ou le mois,
ci�X»ibY�dUfh]Y�Xi�dfcWYggig"�9b�YZZYh�ibY�activité peut n’être essentielle que certains
^cifg�XY�̀ »Ubb�Y�ci�̀ cfg�XY�W]fWcbghUbWYg�V]Yb�gd�W]Ã�eiYg"
plus il est possible de réduire le périmètre à prendre en compte, plus les travaux ultérieurs seront facilités.
page 2/2
29Guide pour réaliser un plan de continuité d’activité
les fiches pratiques La démarche de gestion du risque pour les activités essentielles :=7<9�9
la gestion de risque a pour objectif de limiter les effets de l’incertitude sur l’atteinte des objectifs de l’organisation. C’est un travail
X»Ubh]W]dUh]cb�ei]�Wcbg]ghY�{�]XYbh]Ã�Yf�`Yg�f]geiYg�dchYbh]Y`g �{�Yb��jU`iYf�`Yg�YZZYhg�possibles et la probabilité d’occurrence, de
aUb]�fY�{�dcijc]f�X�Ã�b]f�`»cfXfY�XY�df]cf]h��des actions à conduire pour limiter l’impact et
`U�jfU]gYaV`UbWY�XYg�f]geiYg�]XYbh]Ã��g�WcaaY�aU^Yifg"�7YhhY�X�aUfW\Y�dYfaYh�XY�fUh]cbU`]!gYf�̀ Yg�W\c]l�Yh�X»cdh]a]gYf�̀ U�dfchYWh]cb�[f|WY�à laquelle l’organisation va pouvoir atteindre
gYg�cV^YWh]Zg�XUbg�`Y�fYgdYWh�XYg�fYggcifWYg�qu’elle est prête à dégager.
la gestion du risque comprend 4 étapes :1. =XYbh]Ã�Yf les risques de toutes natures (dans
une approche « tous risques »).
2. Analyser�`Yg�f]geiYg��gY`cb�`Yg�Wf]h�fYg�XY�Zf�eiYbWY�Yh�XY�[fUj]h���Yb�̀ Yg�fY[fcidUbh�dUf�gW�bUf]cg�g][b]Ã�WUh]Zg"�3. Évaluer�WYg�f]geiYg�Yb�ZcbWh]cb�Xi�WcbhYlhY�Yh�XYg�Yb^Yil�XY�`»cf[Ub]gUh]cb��UWh]j]h�g �W\U�bY�XY�jU`Yif �Wcb^cbWhifY �cddcfhib]h�g �WcbWiffYbWY �acmYbg�Ã�bUbW]Yfg �[fUbXg�W\c]l�stratégiques…).
4. Traiter ces risques pour en limiter la
proba bilité d’occurrence et les impacts.
@U�X�aUfW\Y �X�Wf]hY�XY�aUb]�fY�UddfcZcbX]Y�XUbg�̀ Yg�Ã�W\Yg�gi]jUbhYg ��Ua�bY�{�YZZYWhiYf�une cartographie des risques, contribuant à
XcbbYf�ibY�j]g]cb�[`cVU`Y �di]g�{�ZUW]`]hYf�ibY�décision quant à la stratégie de gestion de ces
risques. L’adoption de processus cohérents et
« tous risques » dans un cadre organisationnel
complet peut contribuer à garantir que le
f]geiY�Ygh�[�f��XY�ZU�cb�YZÃ�WUWY �dYfZcfaUbhY�et cohérente au sein d’une organisation,
qu’elle soit publique ou privée. Cependant, Dí�Q�GH�PHWWUH�HQ�SODFH�UDSLGHPHQW�XQ�SODQ�GH�FRQWLQXLW«��LO�HVW�SRVVLEOH�GH�VH�OLPLWHU�¢�XQH�DQDO\VH�GHV�Hì�HWV�GHV�SULQFLSDX[�VF«QDULRV�GH�FULVHV��TXHOOHV�TXØHQ�VRLHQW�OHV�FDXVHV��VDQV�FKHUFKHU�¢�OLPLWHU�RX�SU«YHQLU�OHV�VRXUFHV�GH�ULVTXH��,O�VXï��W�DORUV�GØDOOHU�GLUHFWHPHQW�¢�OD�í�FKH�UHODWLYH�DX[�VF«QDULRV�¢�SUHQGUH�HQ�FRPSWH�GDQV�OH�3&$�
il est recommandé : De connaître les risques et de mener une
analyse de risque qui tienne compte des pro-
babilités d’occurrence des événements craints,
XY�`Yifg�]adUWhg�gif�`Y�ZcbWh]cbbYaYbh�XYg�activités de l’organisation, sur sa capacité à
gUh]gZU]fY�gYg�W`]Ybhg�Yh�]XYbh]�Yf�`Yg�WUhUg!trophes contre lesquelles il est prioritaire de
se protéger.
De prendre en compte les aléas et les menaces
de nature humaine, dans une démarche « tous
risques ».
8»]XYbh]Z]Yf� Yld`]W]hYaYbh� `Yg� ]bW]XYbhg�contre lesquels l’analyse de risque conclut à
leur acceptation et donc à l’absence de besoin
XY�X�jY`cddYf�XYg�aYgifYg�dUfh]Wi`]�fYg�XY�protection.
De rédiger autant de composantes du PCA
global que de scénarios d’incidents contre
`YgeiY`g�]`�U��h��^i[��ih]`Y�XY�gY�df�aib]f" 8Y�ZcfaU`]gYf�Yh�X»YbfY[]ghfYf�̀ Yg�\mdch\�gYg�
ZU]hYg�Yh�`Yg�Wcbg�eiYbWYg�]aU[]b�Yg�`cfg�XY�`U�X�Ã�b]h]cb�XYg�gW�bUf]cg�X»]bW]XYbh" 8»]XYbh]Ã�Yf�`Yg�dUfhYbU]fYg�Yh�cf[Ub]gaYg�
Ylh�f]Yifg�{�`»cf[Ub]gUh]cb�ei]�dciffU]Ybh�être également impliqués dans la gestion du
sinistre ou de ses conséquences.
8Y�fYdfYbXfY�f�[i`]�fYaYbh�`»UbU`mgY�XY�f]geiY�YZZYWhi�Y�dcif�Yb�j�f]Ã�Yf�̀ U�dYfh]bYbWY"
objectif
5ggifYf�`»UhhY]bhY�XYg�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb�Yb�a]b]a]gUbh�`Y�f]geiY�de catastrophe.
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
la démarche de gestion du risque pour les activités essentielles
30
les fiches pratiques =XYbh]�Yf�`Yg�f]geiYg :=7<9�10
�8Ubg� WYhhY� �hUdY� X»]XYbh]Z]WUh]cb� XYg�risques, et pour un niveau d’organisation
donné, l’approche par les objectifs qui peu-vent être affectés permet d’aider à réperto-rier les risques dont certains peuvent être ni perçus ni reconnus : Risques de nature stratégique��d"Yl"�]bX]g!
dcb]V]`]h��XYg�aUh]�fYg�dfYa]�fYg�fUfYg�ci�de ressources critiques, inaccessibilité de
certains pays, perte d’image ou de notoriété,
sécurité économique, hausse importante du
Wc�h�Xi�WUfVifUbh �fidhifY�aU^YifY�X»�bYf[]Y �]bgiZÃ�gUbWY�XY�hf�gcfYf]Y �WYgg]cb�X»UWh]j]h��X»ib�W`]Ybh�ci�X»ib�Zcifb]ggYif�YggYbh]Y`¯�" Risques opérationnels��d"Yl"�]bUWWYgg]V]!
`]h��X»ibY�]bZfUghfiWhifY�dUf�gi]hY�XY�WUhUg!trophe naturelle, technologique, d’acte de
hYffcf]gaY �XY�WcbÄ�]h�gcW]U`�ci�XY�WcidifY#indisponibilité de voies de communication, ou
]bX]gdcb]V]`]h��Xi�gmgh�aY�X»]bZcfaUh]cb�dUf�gi]hY�X»]bhfig]cb�{�hfUjYfg�`Yg�f�gYUil�{�XYg�Ã�bg�aU`jY]``UbhYg �ci�YbWcfY�]bX]gdcb]V]`]h��du personnel consécutive à une pandémie…).
Risques liés à la gouvernance et à la com-munication de l’information��d"Yl"�aUbeiY�X»]bZcfaUh]cb �XY�WccfX]bUh]cb �XY�Wc\�fYbWY �X»Ubh]W]dUh]cb �\�h�fc[�b�]h��XYg�gmgh�aYg�X»]bZcfaUh]cb�X�W]g]cbbY`g �ZcbWh]cb�XY�d]`c!hU[Y�X�Ã�W]YbhY �UVgYbWY�XY�X�W]g]cb¯�" Risques de conformité et juridiques �d"Yl"�
bcb!fYgdYWh�XYg�f�[`Yg�dfiXYbh]Y``Yg �XY�g�Wi!rité sanitaire, de protection des travailleurs
ou de l’environnement…).
@Y�d]`chU[Y�Ã�b�XY�WYg�hfUjUil�Ygh�]bX]gdYb!sable pour assurer une cohérence, car la
tendance d’un responsable est souvent de
sous-estimer les risques (parce qu’un risque
Xcbb��bY�g»Ygh�^UaU]g�dfcXi]h�ci�V]Yb�dUfWY�que l’on souhaite inconsciemment cacher
certains risques) ou au contraire de les sures-
h]aYf��dUf�YlYad`Y�dcif�̂ igh]Ã�Yf�ibY�\UiggY�du budget).
il est recommandé d’étudier les risques éco-
bca]eiYg�ei]�d�gYbh�gif�`»cf[Ub]gUh]cb�dUf�gi]hY�X»UWh]cbg�aU`jY]``UbhYg�.�jc`g�X»]bZcfaU!h]cbg �XY�gUjc]f!ZU]fY�Yh�XY�gYWfYhg�XY�ZUVf]WU!h]cb �WcbhfYZU�cbg�Yh�UhhY]bhYg�{�`U�dfcdf]�h��]bhY``YWhiY``Y �dYfhYg�XY�Xcbb�Yg�Udf�g�ib�sinistre ou une erreur de manipulation, intru-
g]cbg�XUbg�`Y�gmgh�aY�]bZcfaUh]eiY �a]gYg�\cfg�gYfj]WY�XYg�fYggcifWYg�]bZcfaUh]eiYg �X�VUiW\U[Y�XY�gU`Uf]�g �f]geiY�Ã�bUbW]Yf�dUf�df]gY�XY�WUd]hUil�Ylh�f]Yifg �a]gYg�Yb�WUigY�Ui�d`Ub�̀ �[U`�Yh�UWh]cbg�XY�̂ igh]WY �UhhY]bhYg�{�l’image de marque et à la réputation, etc. Ces
UWh]cbg�hciW\Ybh�Uil�cV^YWh]Zg�ghfUh�[]eiYg�ou opérationnels.
=`�Ygh�b�WYggU]fY�XY�X�Ã�b]f�`Yg�`]a]hYg�XYg�risques pris en compte (les scénarios rete-
big�gcbh�WYil�ei]�fYghYbh�XUbg�`Y�W\Uad�Xi�vraisemblable, sinon la liste serait beaucoup
trop longue et risquerait de nuire à la cré-
dibilité du travail. Cependant, il peut être
ih]`Y�XY�dfYbXfY�Yb�WcadhY�XYg�gW�bUf]cg�hf�g�dYi�jfU]gYaV`UV`Yg��hf�g�ZU]V`Y�dfcVUV]`]h� �aU]g�Wcbg�eiYbWYg�hf�g�[fUjYg��dcif�hYghYf�la capacité de l’organisation à réagir dans ces
W]fWcbghUbWYg�Ylhf�aYg�Yh�j�f]Ã�Yf�̀ U�WUdUW]h��XYg�D75�{�f�dcbXfY�{�XY�hY`g�g]b]ghfYg �gUiZ�{�jci`c]f�`Yg�hfU]hYf�dUf�ibY�UddfcW\Y�YlW`i!sivement assurantielle.
objectif
@Yg�f]geiYg�Xc]jYbh��hfY�]XYbh]Ã��g�{�X]ZZ�fYbhg�b]jYUil�XY�`»cf[Ub]gUh]cb��[fcidY �X]j]g]cb �X�dUfhYaYbh �ib]h��X»UZZU]fYg��di]g�Yb�ZcbWh]cb�XYg�cV^YWh]Zg�ei]�dYijYbh��hfY�UZZYWh�g�dUf�`Y�f]geiY��ghfUh�[]eiY �cd�fUh]cbbY` �[cijYfbUbWY�Yh�WcbZcfa]h��"�
identiFier les risques
page 1/2
page suivante
30Guide pour réaliser un plan de continuité d’activité
L’approche « tous risques » permettant d’opti-
a]gYf�̀ Y�X]gdcg]h]Z�XY�g�Wif]h��XY�̀ »cf[Ub]gUh]cb�repose sur la prise en compte d’un ensemble
XYg�f]geiYg �hY`g�eiY�WYil�df�gYbh�g�XUbg�`U�liste indicative ci-dessous, qui permet de les
sérier selon quatre grands types :
1. risques stratégiques Concurrence.
Risque clients.
F]geiY�Zcifb]ggYifg" =bX]gdcb]V]`]h��XYg�aUh]�fYg�dfYa]�fYg�fUfYg" Risques pays.
Perte d’image ou de notoriété.
Risques économiques.
Hausse importante du coût de l’énergie.
Déséquilibre du bilan.
Risques de liquidité.
2. risques opérationnels Risques naturels, sanitaires et
environnementaux : Risques sanitaires.
Risques pandémiques.
Risques vétérinaires.
Perturbations météorologiques graves
(tempêtes, cyclones, tornades, orages
violents).
Risques d’inondation.
Autres aléas naturels (séismes, tsunamis).
HYad�fUhifYg�Ylhf�aYg��g�W\YfYggY �neige...).
Incendies.
Risques technologiques ou accidentels :risques d’accidents majeurs (transports, informatiques, énergie, distribution de l’eau...) : Risques technologiques.
F]geiYg�`]�g�Uil�giVghUbWYg�biW`�U]fYg �radiologiques, biologiques ou chimiques.
F]geiYg�X»Yld`cg]cb"
Accident industriel.
Risques de vieillissement des installations
Yh�]bZfUghfiWhifYg" Risques accidentels de pollution.
Indisponibilité d’alimentation en énergie.
Indisponibilité d’alimentation en eau.
Indisponibilité de téléphonie.
Indisponibilité d’Internet.
8�ZU]``UbWY�X»ib�dfcWYggig" 8�ZU]``UbWY�X»ib�gmgh�aY�]bhYfbY" Risques provoqués :
Malveillance.
Intrusion.
Actions de destruction et de sabotage.
AYbUWY�dUf�Yld`cg]cb�Yh�Yb[]b�Yld`cg]Z�improvisé.
AYbUWYg�]bZcfaUh]eiYg" Jc`�X»]bZcfaUh]cbg�gYbg]V`Yg" 7cbhfYZU�cbg" Menaces nucléaires, radiologiques,
biologiques et chimiques.
3. risques de gouvernance Absence de tableau de bord pertinent.
:cbWh]cb�XY�d]`chU[Y�X��W]YbhY" Absence de coordination.
Manque d’anticipation.
<�h�fc[�b�]h��XYg�gmgh�aYg�X»]bZcfaUh]cbg�décisionnels.
3. risques de conFormité Responsabilité civile et pénale.
F�[`Yg�gUb]hU]fYg�XYg�dfcXi]hg�U`]aYbhU]fYg Protection des travailleurs.
Protection de l’environnement.
Prise en compte des risques des sous-
traitants, y compris à l’étranger.
:]`]�fY�X»Uddfcj]g]cbbYaYbh" 9b^Yil�XY�X�jY`cddYaYbh�XifUV`Y" CV`][Uh]cbg�X»]bZcfaUh]cbg�gcW]U`Yg�Yh�
environnementales (loi Grenelle II).
=XYbh]�Yf�`Yg�f]geiYg :=7<9�10
page 2/2
les fiches pratiques
31Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
les fiches pratiques
32Guide pour réaliser un plan de continuité d’activité
analYser et caractériserles risques
Analyser et caractériser les risques :=7<9�11page 1/2
page suivante
un risque peut être caractérisé par trois composantes : La menace (qu’elle soit d’origine humaine ou
résulte d’un aléa) ou le scénario matérialisant
la source de risque.
La/les vulnérabilités que la menace/scénario
dYih�Yld`c]hYf�dcif�Ujc]f�XYg�]adUWhg" Les impacts, classés selon le niveau de gravité
Yh�̀ Y�hmdY��\iaU]b �Ã�bUbW]Yf �Ybj]fcbbYaYbhU` �fY`Uh]cbg�UjYW�̀ Yg�dUfhYbU]fYg �̂ if]X]eiY �jU`Yif �]aU[Y��Yh�Uddf�W]�g�Yb�ZcbWh]cb�XYg�cV^YWh]Zg�de l’organisation.
@Y�dfcXi]h�XYg�XYil�dfYa]�fYg�WcadcgUbhYg�dYfaYh�X»Yldf]aYf�`U�dfcVUV]`]h���ci�d`Uig]!bilité) d’un événement, source de risque pour
l’organisation.
il ne reste plus alors que deux composantes : la probabilité d’occurrence (1) et l’impact (2).
1. on analyse la probabilité d’occurrence d’une
source de risque en utilisant des seuils tels que
WYil�Yldf]a�g�XUbg�`Y�hUV`YUi��dfcVUV]`]h��d’occurrence » page suivante.
Il est conseillé de prendre une échelle avec des
b]jYUil�XUbg�ib�fUddcfh�XY�%$��WcaaY�]``ighf��dans le tableau page suivante).
@U�dfcVUV]`]h��Ygh�ZUW]`YaYbh�aYgifUV`Y�eiUbX�il s’agit de sinistres statistiquement connus
(risques naturels notamment). Quand il s’agit
d’un risque provenant d’une action humaine,
UjYW�XYg�acXYg�cd�fUhc]fYg�bcijYUil �]`�Ygh�possible de calculer la probabilité (ou vraisem-
blance) par la combinaison de trois éléments qui
objectif
Caractériser les risques par leurs composantes.
analYse de risque
@U�ji`b�fUV]`]h��fYdf�gYbhY�̀ Yg�ZUWhYifg�]bhf]bg�eiYg�ci�ZU]V`YggY�X»ib�gmgh�aY�ei]�̀ Y�fYbXYbh�gYbg]V`Y�ci�ZfU[]`Y�XYjUbh�ib�ci�d`ig]Yifg�hmdYg�XY�aYbUWYg�/eiUbX�`U�aYbUWY�gY�WcbWf�h]gY�dUf�ib��j�bYaYbh�Yld`]W]hY �`U�ji`b�fUV]`]h��Wcbhf]ViY�{�augmenter la gravité des impacts.
RISQUE MENACE IMPACT
IMPACT
VULNÉRABILITÉ
PROBABILITÉRISQUE
= X X
X=
9lYad`Yg�XY�ji`b�fUV]`]h�g�.
DfchYWh]cb�]bgiZÃ�gUbhY�XYg�dc]bhg�X»]adcf!tance vitale.
Bcb�a]gY�{�^cif�XYg�`c[]W]Y`g" G�Wif]h��]bgiZÃ�gUbhY�X»ib�g]hY�W\]a]eiY" 9l]ghYbWY�XY�dcfhYg�X�fcV�Yg" Absence de détection de la menace par
Yld`cg]Zg��=98�"
Localisation de répartiteur basse tension
dans les sous-sols inondables.
DfchYWh]cb� ]bgiZZ]gUbhY� XYg� Xcbb�Yg�sensibles.
Co-localisation du site de secours.
DYfgcbbY`�aU`�Zcfa�" Fournisseur unique de prestations essen-
tielles, etc.
Analyser et caractériser les risques :=7<9�11
page 2/2
les fiches pratiques
caractérisent la menace : la motivation, le savoir
!ZU]fY �`U�X]gdcb]V]`]h��XYg�acmYbg �Yh�XY�XYil�éléments qui caractérisent la vulnérabilité :
ZU]``Yg�Yh�dcfhYg�X�fcV�Yg �ZfU[]`]h��XY�`U�W]V`Y��ei»]`�g»U[]ggY�X»]bZfUghfiWhifYg �XY�dfcWYggig �XY�gmgh�aYg�X»]bZcfaUh]cb �X»�hfYg�\iaU]bg�ci�XY�dfYghUhU]fYg�YlhYfbYg�"Les risques, naturels et technologiques, sont
WUfUWh�f]g�g�dUf�ib�U`�U �X��b]�WcaaY�ib��j�bYaYbh�dchYbh]Y``YaYbh�XUb[YfYil�Yh�ib�]adUWh�X��b]�df�U`UV`YaYbh"
2. l’analyse des impacts Xc]h�gY�ZU]fY�Yb�ZcbW!h]cb�XY�Wf]h�fYg�\cac[�bYg�Ui�gY]b�XY�̀ »cf[Ub]!gUh]cb �dUf�YlYad`Y�Yb�g»]bgd]fUbh�Xi�hUV`YUi�« analyse des impacts » ci-dessous.
Pour cette mesure d’impact il est également
WcbgY]``��XY�dfYbXfY�XYg�b]jYUil�XUbg�ib�rapport de 10.
La durée de l’interruption d’activité est un élé-
aYbh�]adcfhUbh�XYg�]adUWhg"�±�h]hfY�X»YlYad`Y �`Y�f�hUV`]ggYaYbh�XYg�g]hYg�]bZcfaUh]eiYg�]bcb!X�g�dYih�dfYbXfY�XYil�{�g]l�gYaU]bYg �dUfZc]g�d`ig]Yifg�ac]g�.�]`�ZUih�dcadYf�`»YUi �g�W\Yf �Wcbhf�`Yf�̀ Yg�W|V`U[Yg�Yh�aUh�f]Y`g �f��ei]dYf �fYeiU`]Ã�Yf �YhW"�Il est nécessaire de prendre en compte les
Wcbg�eiYbWYg�jYbUbh�XYg�Zcifb]ggYifg�Wcbg]!
X�f�g�Ui�gYbg�hf�g�`Uf[Y"�±�h]hfY�X»YlYad`Y �ib�g]hY�`cWU`]g��Yb�ncbY�bcb�]bcbXUV`Y�dYih��hfY�ZcfhYaYbh�hciW\��dUf�`Yg�YZZYhg�X»ibY�inondation : d’abord par des coupures d’élec-
hf]W]h��WcadYbg�Yg�dUf�`U�a]gY�Yb�ZcbWh]cb!bYaYbh�XY�[fcidYg��`YWhfc[�bYg �di]g�dUf�`U�d�bif]Y�XY�ZiY`�WUig�Y�dUf�̀ »]adcgg]V]`]h��XY�`]jfU]gcb �Yh�Ã�bU`YaYbh�dUf�`»UVgYbWY�XY�personnel par suite de l’arrêt des moyens
de transport.
Il est recommandé de :
FY[fcidYf� `Yg� f]geiYg� ]XYbh]Z]�g� Yb�quelques scénarios dimensionnant, pour
donner plus de réalité et également pour
prendre en compte simultanément plusieurs
f]geiYg�WcbWca]hUbhg�UjYW�YZZYhg�U[[fUjUbhg��dUf�YlYad`Y�`»]bX]gdcb]V]`]h��XYg�acmYbg�de communication durant une catastrophe
naturelle).
Bien prendre en compte les interdépen-
XUbWYg�Yh�YZZYhg�Yb�WUgWUXY"
7Y�hfUjU]`�Ygh�ZU]h�UjYW�̀ Y�fYgdcbgUV`Y�]XYbh]!Ã���dcif�W\UeiY�f]geiY�Yh�UmUbh�Uihcf]h��dcif�[�fYf�WY�f]geiY"�@»UbbYlY�(�XcbbY�ib�YlYad`Y�XY�Ã�W\Y�X»UbU`mgY�X»ib�hmdY�XY�f]geiY�dcif�ib�gW�bUf]c�XY�[fUbX�Zfc]X"
Probabilité d’occurrence ou vraisemblance
Niveau Description Mesure de la probabilité sur 5 années
Très forte 5 probabilité presque certaine 2�)$���%�W\UbWY�gif�&�
Forte 4probabilité forte ou attaque très probable
�XYjfU]h�gifjYb]f�{�Wcifh�hYfaY�2�)����2�%�W\UbWY�gif�&$�
Moyenne 3probabilité plausible ou attaque plausible
�dciffU]h�Uff]jYf�2�$")����2�%�W\UbWY�gif�&$$�
Faible 2 peut intervenir occasionnellement 2�$"$)����2�%�W\UbWY�gif�&$$$�
Très faible 1
probabilité très faible ou attaque
improbable. peut intervenir dans des
circonstances exceptionnelles
0�$"$)����2�%�W\UbWY�gif�&$�$$$�
Niveau moyen de l’impact
Types d’impact Sous critères Valeur de l’impact par sous critères et commentaires éventuels
Mineur 2
Humain1.1 nombre de morts
1.2 nombre de blessés
1
2
Social2.1 nombre de personnes
2.2 effet psychologique
2
2
Financier 3.1 Coût global 2
Contractuel 4.1 incidences sur les engagements 2
Cd�fUh]cbbY` 5.1 effets directs
)"&�8��W]YbWY�XYg�gcig!hfU]hUbhg3
3
9bj]fcbbYaYbh 6.1 impact environnemental 1
Image 7.1 impact sur la réputation 1
Juridique8.1 responsabilité civile ou pénale
8.2 obligations réglementaires
1
2
33Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
les fiches pratiques Évaluer les risques :=7<9�12
suite à l’analyse des risques, l’évaluation consiste d’abord à hiérarchiser les risques, en utilisant les critères de probabilité et X»]adUWh�X�Ã�b]g�df�W�XYaaYbh"�Une matrice
du type de celle ci-dessous peut être utilisée
{�WYh�YZZYh"L’évaluation consiste ensuite à apprécier les
f]geiYg�dUf�fUddcfh�Ui�WcbhYlhY�XY�̀ »cf[Ub]gU!h]cb �dcif�X�Ã�b]f�WYil�ei]�gcbh�UWWYdhUV`Yg�Yh�WYil�ei]�b�WYgg]hYbh�ib�hfU]hYaYbh"
=`�ZUih�bchUaaYbh�Uddf�W]Yf�`Yg�f]geiYg�Uil!quels l’organisation sait résister, les avan-
tages que certaines activités peuvent retirer
de cette prise de risque et au contraire les
inconvénients que d’autres parties de l’orga-
nisme devront subir si les risques devaient se
WcbWf�h]gYf"�=`�ZUih��[U`YaYbh�eiY�̀ Yg�X�W]g]cbg�respectent les obligations réglementaires ainsi
eiY�`Yg�UihfYg�Yl][YbWYg�UileiY``Yg�`»cf[Ub]!sation est soumise.
8Ubg�ibY�UddfcW\Y�d`ig�f][cifYigY�Yh�UÃ�b�XY�pouvoir additionner certains risques, il est pré-
Wcb]g��XY�[UfXYf�`Yg�b]jYUil�XY�aYgifY�XUbg�ib�fUddcfh�XY�%$�d`ih�h�eiY�XY�`Yg�fYad`UWYf�
dUf�̀ U�gYi`Y�f�Z�fYbWY�Ui�b]jYUi�dfcdcg�Y�dcif�`»YlYad`Y�dU[Y�gi]jUbhY"�@U�aUhf]WY�X»�jU`iUh]cb�dfYbX�U`cfg�`U�ZcfaY�du tableau page suivante « Gestion du risque
d’évaluation - autre version ».
Ce schéma peut encore être critiqué, parce
ei»]`�XcbbY�`Y�a�aY�dc]Xg�{�ib�f]geiY�XY�hf�g�ZU]V`Y�dfcVUV]`]h��Yh�XY�hf�g�Zcfh�]adUWh�ei»{�ib�f]geiY�XY�hf�g�ZcfhY�dfcVUV]`]h��Yh�XY�hf�g�ZU]V`Y�]adUWh"�Cb�dYih�Wcbg]X�fYf�Yb�YZZYh�ei»ib�]bW]XYbh�Zf�eiYbh�Ygh�V]Yb�Wcbbi �Yh�̀ Yg�aYgifYg�XY�f�dcbgYg�gcbh�Ugg]a]`�Yg�Yb�acXY�f�Ä�YlY"�5�WcbhfUf]c �ib�f]geiY�Ylhf�aYaYbh�fUfY�Ygh�souvent négligé et les instruments de réponse
dYi�X�jY`cdd�g"�8Y�d`ig �eiUbX�̀ »]adUWh�Ygh�hf�g�élevé les conséquences ressenties sont ampli-
Ã��Yg�dUf�̀ Yg�YZZYhg�gif�̀ Yg�dUfhYbU]fYg �̀ »]adUWh�gif�̀ U�j]Y�gcW]U`Y �̀ Yg�d\�bca�bYg�U[[fUjUbhg�XY�la médiatisation et LQ�í�QH les conséquences sur
l’image, la survie de l’organisation et la société
Yb�[�b�fU`"�Dcif�WYg�fU]gcbg�]`�dYih��hfY�df�Z�!rable de donner plus de poids à l’échelle des
impacts. Il en résulte la matrice page suivante
« Gestion du risque d’évaluation - autre version
dcbX�f�Y�®"�AU`[f��gcb�UddUfYbhY�Wcad`Yl]h� �elle peut s’avérer plus opérationnelle.
objectif
Hiérarchiser et apprécier les risques.
évaluer les risques
page 1/2
Impacts
ProbabilitéCatastrophique
5
Majeur
4
Modéré
3
Mineur
2
=bg][b]�Ubh��
1
Très forte 5 10 9 8 7 6
Forte 4 9 8 7 6 5
Moyenne 3 8 7 6 5 4
Faible 2 7 6 5 4 3
Très faible 1 6 5 4 3 2
9 ) Risque extrême ) 10 7 ) Risque élevé ) 8 5 ) Risque moyen ) 6 1 ) Risque faible ) 4
Niveau de risque encouru
page suivante
34Guide pour réaliser un plan de continuité d’activité
Évaluer les risques :=7<9�12
page 2/2
les fiches pratiques
Impa
cts
Vraisemblances / Probabilités
gestion du risque d’évaluation�5IHF9�J9FG=CB�
10 000 100 000 1 M 10 M 100 M
1 000 10 000 10 000 1 M 10 M
100 1 000 10 000 10 000 1 M
10 100 1 000 10 000 10 000
1 10 100 1 000 10 000
Impa
cts
Vraisemblances / Probabilités
gestion du risque d’évaluation�5IHF9�J9FG=CB�DCB8vFv9�
10 000 30 000 100 000 300 000 1 M
1 000 3 000 10 000 30 000 100 000
100 300 1 000 3 000 10 000
10 30 100 300 1 000
1 3 10 30 100
35Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
les fiches pratiques
traiter, transFérer, éviter ou accepter les risques identiFiés
HfU]hYf �hfUbgZ�fYf ��j]hYf�ci�UWWYdhYf�`Yg�f]geiYg�]XYbh]��g :=7<9�13
en cohérence avec la norme iso 31 000, le traitement du risque peut inclure les actions de types suivants : Un refus du risque en décidant de ne pas
démarrer ou poursuivre l’activité porteuse du
risque.
La prise ou l’augmentation d’un risque�UÃ�b�XY�saisir une opportunité.
L’élimination de la source de risque, par
YlYad`Y�Yb�fY`cWU`]gUbh�XYg�VifYUil�dcif�`Yg��`c][bYf�X»ib�ncbY�]bcbXUV`Y" Une diminution de la probabilité d’occurrence
ou de la vraisemblance, par des actions de pré-
vention, de protection et de détection13 (mesures
de protection physique ou logique, sensibilisa-
tion et mesures comportementales, détection
fUd]XY�XY�g][bUil�df�WifgYifg �Wcbhf�`Y�]bhYfbY �UWh]cbg�XY�X]ggiUg]cb�ZUWY�{�XYg�aYbUWYg�humaines, intervention préventive…).
Une modification des conséquences, par
des mesures de protection et de limitation
des impacts directs (durcissement des points
névralgiques, protection du personnel, détec-
tion rapide d’un incident anormal, capacités
et procédures d’intervention et de gestion de
crise…).
Un partage du risque avec une ou plusieurs
autres parties (incluant des contrats d’assurance
du risque).
Un maintien du risque ZcbX��gif�ib�W\c]l�argumenté.
s’agissant des risques assumés, l’organisa-
h]cb�Xc]h�W\YfW\Yf�{�hcih�ZU]fY�dcif�Yb�`]a]hYf�
l’occurrence et les impacts (actions de type 4
Yh�)� �UÃ�b�X»Uff]jYf�{�un risque résiduel accep-table. Les solutions retenues nécessiteront des
ressources et auront un coût, qui devra être
validé par la direction.
la sensibilisation des « responsables de risques » au sein de l’organisation est néces-
gU]fY�{�̀ »UXcdh]cb�X»ibY�X�aUfW\Y�\cac[�bY�Yh�cohérente visant à déterminer et proposer les
b]jYUil�XY�f]geiYg�UWWYdhUV`Yg"�IbY�jU`]XUh]cb�XY�`U�X]fYWh]cb�fYghY�]bX]gdYbgUV`Y"�9``Y�dYf!mettra de déterminer les risques nécessitant
un traitement et l’ordre de priorité dans la
mise en œuvre des traitements.
La direction centrale du renseignement intérieur (DCRI), la direction de la protection du secret de défense (DPSD) et la gendarmerie nationale peuvent aider à protéger les organisations :7Yg�hfc]g�gYfj]WYg�XY�`»vhUh�gcbh�ZcfhYaYbh�impliqués dans la prévention des ingérences
contre les institutions et les entreprises qui
constituent le tissu économique national. À
WY�h]hfY �]`g�X]gdcgYbh�X»ibY�YldYfh]gY�XUbg�`Y�domaine de la protection physique et écono-
mique des entreprises.
l’agence nationale de la sécurité des systèmes d’information (anssi) est l’autorité nationale en matière de sécurité des systèmes d’informa-tion. A ce titre, elle met à disposition gratuite-
ment sur son site (\hhd.##gg]"[cij"Zf) un certain
nombre de guides et de recommandations.
objectif
8��b]f�`Yg�aUb]�fYg�XY�dfYbXfY�Yb�WcadhY�`Yg�f]geiYg"�
�%'�#�9lYad`Y�XYg�aYgifYg�Xi�d`Ub�J][]d]fUhY �ei]�j]gYbh�{�`]a]hYf�`Y�f]geiY�X»�j�bYaYbh�XY�bUhifY�hYffcf]ghY"
36Guide pour réaliser un plan de continuité d’activité
Guide pour réaliser un plan de continuité d’activité 37
les fiches pratiques
quels scénarios de risquesprendre en coMpte ?
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Quels scénarios de risques prendre en compte ? :=7<9�14page 1/2
page suivante
@U�X�aUfW\Y�g]ad`]Ã��Y�bY�g»]bh�fYggYfU�qu’aux effets sur la disponibilité, en prenant
Yb�WcadhY�giZÃ�gUaaYbh�XY�gW�bUf]cg�dcif�couvrir la plupart des conséquences sur les
ressources critiques :
=bZfUghfiWhifYg��V|h]aYbhg �`cWUil �acmYbg�de transport…).
Gmgh�aYg�X»]bZcfaUh]cb��gmgh�aYg�]bZcfaU!tiques, serveurs, données internes, moyens de
télécommunication, réseau local, messagerie,
UWW�g�=bhYfbYh¯�" Ressources humaines (équipes disponibles,
fYbZcfhg �dYfgcbbYg�W`YZg �eiU`]Ã�WUh]cbg �Wca!pétences, motivation…).
Ressources intellectuelles ou immatérielles
�Xcbb�Yg�]bhYfbYg �]bZcfaUh]cbg�{�dfch�[Yf̄ � DfYghUh]cbg�YlhYfbYg��YUi ��bYf[]Y �gcig!
hfU]hUbhg¯��ci�dfcXi]hg�Wf]h]eiYg��aUh]�fYg�dfYa]�fYg�fUfYg�"
… tout en précisant l’étendue du sinistre : cf[Ub]gUh]cb�Ybh]�fY�ci�ncbY�[�c[fUd\]eiY�et activités touchées.
@Yg�YZZYhg�gif�̀ Yg�fYggcifWYg�Wf]h]eiYg�cbh�XYg�conséquences sur les processus critiques et
donc sur le niveau de service ou l’interruption
d’activités essentielles. Chaque interruption
de processus critique et donc d’activité essen-
tielle a des conséquences mesurables en terme
XY�Wc�hg"�;f|WY�Ui�hUV`YUi�gi]jUbh�cb�X]gdcgY�de scénarios d’indisponibilité et l’on peut
calculer les conséquences des interruptions
ou indisponibilités des ressources critiques,
permettant de trancher sur l’opportunité de
développer des PCA (cette question est trai-
h�Y�XY�aUb]�fY�UddfcZcbX]Y �UjYW�`U�df]gY�Yb�compte du coût du PCA).
objectif
FYhYb]f�XYg�gW�bUf]cg�Yb�ZcbWh]cb�XYg�Wcbg�eiYbWYg�Uddf�W]�Yg�Ui�fY[UfX�XYg�cV^YWh]Zg�Yh�cV`][Uh]cbg�XY�`»cf[Ub]gUh]cb"
local route moyen de transport
système d'information
ressource humaine
ressource intellectuelle
fournisseur et sous-traitance
produit critique
7UhUghfcd\Y�bUhifY``Y�.�inondation
4 4 4 3 3 2 1 2
7UhUghfcd\Y�bUhifY``Y�.�tempête
2 4 4 3 2 2 1 2
Grave accident 4 1 1 4 4 2 3 1
Crise sanitaire 1 1 3 2 4 2 3 1
attentat terroriste 4 1 1 1 4 3 2 2
Crise sociale 1 1 4 1 4 2 3 3
arrêt électricité 3 3 3 4 2 1 3 3
5ff�h�HY`YWca�ou internet
3 2 2 4 2 3 3 2
1 = très faible - 2 = faible - 3 = fort - 4 = très fort
eXemple de tableau de scénario de risques�5J97�IB9�EI5BH=:=75H=CB�89G�9::9HG�GIF�@9G�F9GGCIF79G�7F=H=EI9G�
38Guide pour réaliser un plan de continuité d’activité
Quels scénarios de risques prendre en compte ? :=7<9�14page 2/2
les fiches pratiques
conséquences pour le périmètre du pca : Le PCA doit prendre en compte les scéna-
rios qui conduisent à des situations inaccep-
hUV`Yg�/�néanmoins certains scénarios peuvent
être traités par la direction concernée sans
ZU]fY�UddY`�Ui�D75��dUf�YlYad`Y�`U�X]fYWh]cb�^if]X]eiY�" @Y�d�f]a�hfY�Xi�D75�dYih��hfY�jUf]UV`Y�
gY`cb�`U�hU]``Y �`U�bUhifY�ci�`U�Wcad`Yl]h��XY�l’organisation.
Le PCA doit comprendre au minimum les
risques opérationnels, pour lesquels l’interrup-
tion d’activité résulte de la perte de ressources
critiques.
=`�Ygh�fYWcaaUbX��XY�ZU]fY�jU`]XYf�`Y�d�f]!a�hfY�Xi�D75�dUf�`U�X]fYWh]cb�[�b�fU`Y"
L’analyse des conséquences de pertes de res-
sources critiques sur la continuité d’activité
et de l’acceptabilité de ces interruptions d’ac-
tivité ou dégradations de niveau de service,
conduit à intégrer a priori dans le PCA une
liste de scénarios.
7YdYbXUbh �̀ U�[Ygh]cb�Xi�f]geiY�UddcfhY�XYil�éléments complémentaires :
La mesure de la probabilité d’occurrence.
@»Uddf�W]Uh]cb�Xi�f]geiY�f�g]XiY`�Udf�g�`Yg�mesures de traitement.
La liste évoquée précédemment peut donc
être réduite,
Soit parce que l’analyse de la probabilité
d’occurrence ou les mesures de prévention
fYbXYbh�WYhhY�dfcVUV]`]h��hfcd�ZU]V`Y�dcif�̂ ig!h]Ã�Yf�ibY�UWh]cb�XY�Wcbh]bi]h��ci�dUfWY�eiY�d’autres réponses sont plus pertinentes (par
YlYad`Y�ibY�dc`]WY�X»UggifUbWY�" Soit parce que l’organisation est prête à assu-
mer et accepter un risque et les conséquences
associées, sans action complémentaire.
Soit parce que les mesures de protection
prises rendent les conséquences acceptables.
Dcif�W\UeiY�gW�bUf]c�Ã�bU`YaYbh�fYhYbi�XUbg�le pca, il est recommandé d’indiquer : G»]`�m�U�XYg�aYgifYg�dUfh]Wi`]�fYg�XY�df�jYb!
tion ou protection.
@Yg�]adUWhg�df]bW]dUil�gif�`»cf[Ub]gUh]cb�Yh�gYg�WUdUW]h�g��W\]ZZf�g�" @Yg�]bX]WYg�dYfaYhhUbh�X»]XYbh]Ã�Yf�`Y�X�Vih�
de la crise.
@Yg�Wf]h�fYg�dYfaYhhUbh�XY�aYgifYf�̀ »Uad`Yif�du sinistre.
Guide pour réaliser un plan de continuité d’activité 39
les fiches pratiques
déFinir les obJectiFs de continuité en Mode déGradéet pour la reprise d’activité
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
8�Ã�b]f�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�`U�fYdf]gY�X»UWh]j]h�
page 1/3
page suivante
±�WY�ghUXY �]`�g»U[]h�XY�Ã�lYf�XYg�cV^YWh]Zg�XY�continuité à atteindre compte tenu des besoins dans l’absolu et des scénarios de sinistre rete-nus.�7Yg�cV^YWh]Zg�dcfhYbh�gif�`Yg�UWh]j]h�g�Yh�par suite sur les processus et sur les ressources
Wf]h]eiYg"�@»UhhY]bhY�XY�WYg�cV^YWh]Zg�fYeiYffU�XYg�acmYbg�gd�W]Ã�eiYg�Yh�XYg�Wc�hg�UggcW]�g �ei]�dciffcbh�WcbXi]fY�{�fYjc]f�̀ YgX]hg�cV^YWh]Zg��jc]f�`U�Ã�W\Y�%-�gif�`Y�V]`Ub�Wc�h#UjUbhU[Y�Xi�D75�"�±�̀ U�gi]hY�XY�WYhhY�WcbZfcbhUh]cb�YbhfY�̀ Y�coût de l’interruption d’activité et le coût du
PCA proposé, et compte tenu de la probabilité
d’occurrence, la stratégie de continuité pourra
�hfY��bU`]g�Y"
les objectifs de continuité (en matière de disponibilité) : Nous n’évoquons pas ici les
cV^YWh]Zg�{�Ã�lYf�Yb�aUh]�fY�XY�df�jYbh]cb�Yh�dfchYWh]cb��ei]�Zcbh�`»cV^Yh�Xi�hfU]hYaYbh�XYg�f]geiYg��aU]g�`Yg�cV^YWh]Zg�{�Ã�lYf�Yb�aUh]�fY�de continuité d’activités. Ces derniers sont
ZcfaU`]g�g�dUf�XYg�]bX]WUhYifg�ei]�eiUbh]Ã�Ybh�d’une part (1) l’exigence concernant les sys-tèmes en place (pour rendre possible la conti-
nuité d’activité) et d’autre part (2) l’exigence concernant les modalités de la réponse mise en œuvre à la suite d’un sinistre (pour assurer une
Wcbh]bi]h��X»UWh]j]h��WcbZcfaY�Uil�cV^YWh]Zg�XY�l’organisation) :
1. Perte maximale susceptible de résulter des impacts directs du sinistre Yh�ei»]`�bY�ZUih�dUg�dépasser pour rendre possible la continuité
X»UWh]j]h� �dUf�YlYad`Y�. DYfhY�XY�FYggcifWYg�AUl]aU`Y�5Xa]gg]V`Y�
(PRMA) pour permettre une reprise,
DYfhY�XY�8cbb�Yg�AUl]aU`Y�5Xa]gg]V`Y��D8A5� �XUbg�`Y�XcaU]bY�]bZcfaUh]eiY �ei]�
]ad`]eiY�XY�X�Ã�b]f�`Yg�acXU`]h�g�XY�gUijY!garde, duplication, reprise des données et
redémarrage (il peut n’y avoir aucune perte
en cas de réplication synchrone ou des pertes
dUfh]Y``Yg�Yb�WUg�XY�fYX�aUffU[Y�dfc[fYgg]Z�gY`cb�ib�cfXfY�XY�df]cf]h��df�X�Ã�b]�"7Yg�]bX]WUhYifg�Xc]jYbh�dYfaYhhfY�XY�eiUbh]Ã�Yf�le niveau minimum qui doit subsister juste après le sinistre pour permettre la mise en œuvre des solutions de continuité.
2. Exigences de délais pour la reprise d’activité �dUf�̀ U�a]gY�Yb�µijfY�d`Ub]Ã��Y�X»ibY�gc`ih]cb�palliative, puis d’une solution de secours en
acXY�X�[fUX��Yh�YbÃ�b�`U�fYdf]gY�XYg�WcbX]!h]cbg�bcfaU`Yg��ei]�g»]adcgYbh�Uil�gc`ih]cbg�à mettre en œuvre :
8if�Y�AUl]aU`Y�X»=bhYffidh]cb�5WWYdhUV`Y�(DMIA), avant de disposer d’une solution de
contournement palliative (qui mobilise des pro-
WYggig�gd�W]Ã�eiYg�Yh�ZU]h�[�b�fU`YaYbh�UddY`�{�des procédures manuelles). Le dépassement de
WYhhY�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb �dcijUbh�f�gi`hYf�XY�`U�bcb!Zcifb]hifY�X»ib�dfcXi]h�ci�d’un service ou de la non-réalisation d’une
UWh]j]h� �UifU]h�XYg�Wcbg�eiYbWYg�X�ZUjcfUV`Yg�qui seraient inacceptables pour la tenue des
cV^YWh]Zg�ci�XYg�cV`][Uh]cbg�XY�̀ »cf[Ub]gUh]cb"�5Ã�b�XY�hYb]f�WYh�cV^YWh]Z�XY�8A=5�]`�Ygh�b�WYg!saire de préciser la ressource critique/non
critique concernée, les indicateurs précis, le
b]jYUi�XY�gYfj]WY�UhhYbXi��ZcbWh]cbbYaYbh�Yb�mode dégradé), les conséquences indirectes…
8if�Y�AUl]aU`Y�XY�FYdf]gY�hYW\b]eiY�Df�jiY��8AFD��¶�UjUbh�XY�ZcbWh]cbbYf�gY`cb�̀ Y�acXY�de secours ou le mode nominal prévu (et
donc reprise partielle ou totale des moyens
hYW\b]eiYg�Yh�]bZcfaUh]eiYg�"�@U�X�W]g]cb�XY�
objectif
DUggYf�XY�`U�X�Ã�b]h]cb�XYg�VYgc]bg�XY�Wcbh]bi]h��{�WY``Y�XYg�X»cV^YWh]Zg�XY�Wcbh]bi]h�"
:=7<9�15
Guide pour réaliser un plan de continuité d’activité 40
8�Ã�b]f�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�`U�fYdf]gY�X»UWh]j]h� :=7<9�15page 2/3
les fiches pratiques
déclencher le mode secours est souvent une
décision qui ne peut plus être annulée (on ne
dYih�d`ig�ZU]fY��aUW\]bY�Uff]�fY�®�"
@Y�fYhcif�{�`U�bcfaU`Y�dYih�gY�ZU]fY�dUf�dU`]Yfg�giWWYgg]Zg �W\UeiY��hUdY��hUbh�U`cfg�UggcW]�Y�{�ib�cV^YWh]Z�XY�Xif�Y�aUl]aU`Y"�7Y�Wcbh]biia�est représenté dans le diagramme ci-dessous.
Quand il y a plusieurs DMIA, la plus contraignante
Ygh�̀ U�8A=5�̀ U�d`ig�ZU]V`Y �aU]g�̀ Yg�UihfYg�jU`Yifg�XY�8A=5 �`Yg�Xif�Yg�aUl]aU`Yg�XY�ZcbWh]cbbY!ment en mode dégradé et les valeurs de DMRP
ont également des conséquences importantes
sur les ressources techniques et procédures à
mettre en œuvre, qui devront être valorisées.
@U�X��b]h]cb�XYg�cV^YWh]Zg�XY�g�Wif]h� (en
aUh]�fY�X»]bh�[f]h� �XY�WcbÃ�XYbh]U`]h� �XY�hfU!�UV]`]h� �X»�jc`ih]j]h��Yh�XY�g�fYh���dYfaYh�XY�df�W]gYf�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h�"8Ubg�WYhhY�dYfgdYWh]jY�cb�dYih�]XYbh]Ã�Yf�. Une perte de qualité, voire un vol ou une
détérioration volontaire des ressources, du
dfcXi]h�ci�Xi�gYfj]WY�Zcifb] �ei]�dYijYbh�gY�traduire par l’arrêt de la prestation corres-
pondante. Il est par conséquent nécessaire de
déterminer le niveau de seuil d’acceptabilité14
Xi�dfcXi]h#gYfj]WY�Ã�bU`"�@»YZZYh��hUbh�jc]g]b�de l’indisponibilité d’un produit/service, il
peut être traité par une démarche voisine,
nécessitant la mise en place rapide d’un plan
de continuité adapté.
page suivante
FiXation des obJectiFs pour assurer la continuité d’activité
D8A5�aYgifY�`Y�hYadg�aUl]aia�UWWYdhUV`Y�XifUbh�`YeiY`�`Yg�Xcbb�Yg�gcbh�dYfXiYg �WUf�Y``Yg�bY�dYijYbh�dUg��hfY�fYWcbgh]hi�Yg�/�]`�Ygh�b�WYggU]fY�XY�fYWcif]f�Uil�XYfb]�fYg�Xcbb�Yg�gUijY[UfX�Yg"
8A=5�aYgifY�`U�Xif�Y�X»]bhYffidh]cb�XY�ZcbWh]cbbYaYbh�Xi�dfcWYggig�Ui!XY`{�XieiY`�`Yg�Wcbg�eiYbWYg�XYj]YbbYbh�intolérables.
8AFD��X�`U]�aUl]aia�XY�fYdf]gY�hYW\b]eiY�df�ji��aYgifY�`U�Xif�Y�X»]bhYffidh]cb�XY�ZcbWh]cbbYaYbh�XYg�dUfh]Yg�hYW\b]eiYg�Xi�dfcWYggig�UjUbh�̀ U�fYdf]gY�Yb�acXY�gYWcifg"�7Y`U�WcffYgdcbX�{�̀ U�Xif�Y�aUl]aU`Y�XY�ZcbWh]cbbYaYbh�UWWYdhUV`Y�Yb�acXY�hf�g�X�[fUX�"
Mise en œuvre du plan de retour
à la normale
Fonctionnement en mode secours
PCA parcontournement
Fonctionnementen mode secoursSinistre
PRMA : Perte de ressourcesmaximale admissible
PDMA : Perte de donnéesmaximale admissible
DMIA : durée maximaled’interruption acceptable
DMRP : durée maximale de fonctionnementen mode très dégradé = durée maximale d’interruption avant le mode secours
Fonctionnementavec solution
palliative
Mise en œuvre du plan secours
Ressources à conserverpermettant la reprise
Fonctionnementnormal
Axe du temps
�%(�#�=`�Yl]ghY�XYg�hYW\b]eiYg�dcif�X��b]f�WY�gYi]`�Yh�UggifYf�gcb�aU]bh]Yb�Yb�g]hiUh]cb�bcfaU`Y��WZ"�G]l�g][aU�"
Guide pour réaliser un plan de continuité d’activité 41
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
8�Ã�b]f�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Yb�acXY�X�[fUX��Yh�dcif�`U�fYdf]gY�X»UWh]j]h�
page 3/3
:=7<9�15
Une perte d’intégrité�Ua�bY�XUbg�ib�dfY!mier temps à localiser les produits/services
X�ZYWhiYil �UggifYf�`Yif�W`c]gcbbYaYbh�g»]`�m�a un risque de propagation, les récupérer, puis
`Yg�giVgh]hiYf�dUf�XYg�dfcXi]hg�]bh�[fYg"�7Yg�h|W\Yg�b�WYgg]hYbh�ibY�hf�g�[fUbXY�f�UWh]j]h��quand il s’agit de produits périssables qui sont
passés dans la chaîne de distribution et qui
ont une durée de vie courte. L’indisponibilité
du produit/service concerné peut être plus ou
moins longue.
IbY�dYfhY�XY�Wcb�XYbh]U`]h� qui couvre un
W\Uad�hf�g�`Uf[Y�Yh�Xc]h�ZU]fY�`»cV^Yh�X»ibY�
�hiXY�gd�W]Z]eiY"�9``Y�dYih�f�gi`hYf�X»]b!hfig]cbg�XUbg�`Yg�gmgh�aYg�X»]bZcfaUh]cb�UjYW�XYg�Wcbg�eiYbWYg�hf�g�[fUjYg �WcaaY�la remise en cause ou l’arrêt de certaines
activités.
Une perte de traçabilité peut également,
XUbg�XYg�g]hiUh]cbg�Ylhf�aYg�c��`Y�dfcXi]h#gYfj]WY�Zcifb]�Ygh�X»ibY�[fUbXY�jU`Yif�ci�XUb![YfYil �WcbXi]fY�{�`»Uff�h�XY�`U�dfYghUh]cb�Yh�donc à l’indisponibilité.
Une perte de sûreté, conduisant à une action
malveillante ou de nature terroriste se traduit
généralement par une perte de disponibilité.
déroulement du pca
Sinistre
Fonctionnementavec solution
palliative
Axe du temps
Fonctionnementnormal
durée max. d’interruption acceptable
durée max. de fonctionnement en mode très dégradé
durée max. de fonctionnement en mode dégradé de niveau 1
durée maximale de fonctionnement en mode dégradé de niveau 2
Fonctionnementen mode
secours #1
Élaborationdu PCA
Gestiondu risque
Mise en œuvre d’une solution
de contournement
Mise en œuvre d’une solution
de secours
Mise en œuvre du plan de retour
à la normale
SI en partieopérationnel
Évaluation, anticipation, décisions, mobilisation
9lYad`Y�X»ib�Uff�h�XY�`»UWh]j]h��gi]hY�{�ib�g]b]ghfY �X»ibY�fYdf]gY�Yb�acXY�X�[fUX� �X»UVcfX�dUf�ibY�gc`ih]cb�XY�WcbhcifbYaYbh �di]g�dUf�ib�ZcbWh]cbbYaYbh�Yb�acXY�gYWcifg �UjYW�XYil�dU`]Yfg�giWWYgg]Zg �UjUbh�̀ Y�fYhcif�{�̀ U�bcfaU`Y"
Fonctionnementen mode
secours #2Fonctionnement
normal
les fiches pratiques 8��b]f�`Yg�Yl][YbWYg�gif�`Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75
page 1/3
page suivante
cet objectif concerne : @Yg�gmgh�aYg�X»]bZcfaUh]cb�Yh�XY�
communication.
Les processus et l’organisation.
Les ressources intellectuelles.
@Yg�]bZfUghfiWhifYg" @Yg�dfYghUhU]fYg�YlhYfbYg" Les relations avec les partenaires.
Les relations avec l’État.
exigences pour les ressources humaines7Yg�Yl][YbWYg�dcfhYbh d’une part sur les res-
sources nécessaires pour préparer la mise en
œuvre du PCA :
Désigner le directeur des risques, les respon-
sables des risques, le responsable PCA et les
correspondants PCA.
=XYbh]Ã�Yf�`Yg�dcg]h]cbg�XY�hfUjU]`�Wf]h]eiYg�pour la continuité des activités essentielles.
Évaluer le nombre nécessaire de ressources
humaines et en particulier des postes critiques
à maintenir (décisionnel et opérationnel).
9h�d’autre part gif�`Yg�X]gdcg]h]Zg�{�df�dU!rer pour permettre la continuité des postes
critiques :
Maintenir techniquement les positions de
travail critiques :
- mécanisme d’astreinte,
- travail à distance, télétravail15,
- UWW�g��d\mg]eiY�Yh�̀ c[]eiY��Uil�Xcbb�Yg�XYg�dossiers,
- Xfc]hg�XY�̀ YWhifY�XYg�YgdUWYg�XY�ghcW_U[Y�Yh�de la messagerie,
- Wf�Uh]cb�XY�bcijYUil�WcadhYg - travail depuis un site de repli,
- X]gdcgYf�XY�WUdUW]h��{�acX]Ã�Yf�̀ Yg�UbbiU]fYg�Yh�UggifYf�`Yif�X]ZZig]cb
- capacité à conserver les mêmes numéros de
téléphone, par redirection automatique,
- polyvalence du personnel,
- prévoir les mesures d’adaptation de
l’organisation,
- aménager le temps de travail, sociétés
d’intérimaires,
- protection des travailleurs concernés,
- modalités de transport domicile-travail,
covoiturage,
- disponibilité de l’outil de travail (notamment
XYg�hYfa]bUil�Yh�acmYbg�]bZcfaUh]eiYg� �XYg�moyens de communication,
- df]gY�Yb�WcadhY�XY�̀ U�g�Wif]h��]bZcfaUh]eiY��gif�`Yg�f�gYUil �gif�`Y�dcghY�XYg�U[Ybhg� �
- prise en compte des mécanismes de sauve-
[UfXY�XYg�Xcbb�Yg�XifUbh�̀ Y�ZcbWh]cbbYaYbh�sur site de repli,
- modalités de prise en charge des coûts de
communication et de la responsabilité civile,
Prévoir les incidences pour la convention
collective, contrat de travail16 � f�[`YaYbh�intérieur, responsabilité civile, rémunération,
Wcbhf�`Y" 5ggifYf�ibY�ZcfaUh]cb�df�U`UV`Y �ibY�gYbg]V]!
lisation au travail occasionnel à distance et la
responsabilisation des personnes concernées.
Pour la suppléance du personnel :Il est recommandé, pour tout poste sensible, de
disposer du nom du titulaire et d’un suppléant.
Df�jc]f�ib�a�WUb]gaY�XY�a]gY�{�^cif�XYg�UbbiU]fYg�Yb�WUg�XY�ZcbWh]cbbYaYbh�Yb�acXY�dégradé.
objectif
5ddfcZcbX]f�`Yg�acXU`]h�g�XY�a]gY�Yb�µijfY�XYg�f�dcbgYg�dfcdcg�Yg�dcif�f�dcbXfY�Uil�cV^YWh]Zg�XY�Wcbh]bi]h� �Yh�{�`Yifg�]ad`]WUh]cbg��WcbhfU]bhYg#Yl][YbWYg��gif�̀ Yg�fYggcifWYg�]bhYfbYg�Yh�YlhYfbYg�XY�`»cf[Ub]gUh]cb�Yh�`Yg�dfcW�XifYg"
:=7<9�16
déFinir les eXigences sur les ressources nécessaires au pca
%)�#�7]fWi`U]fY�XY�`U�X]fYWh]cb�[�b�fU`Y�Xi�hfUjU]`��8;H��&$$+#%,�Xi�%,�X�WYaVfY�&$$+"%*�#�A�aY�g]�`»Ufh]W`Y�@"�%&&&!%%�Xi�WcXY�Xi�hfUjU]`�df�W]gY�ei»Yb�WUg�XY�W]fWcbghUbWYg�YlWYdh]cbbY``Yg�`Y�h�`�hfUjU]`�est considéré comme un aménagement du poste de travail.
Guide pour réaliser un plan de continuité d’activité 42
8��b]f�`Yg�Yl][YbWYg�gif�`Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75 :=7<9�16page 2/3
les fiches pratiques
Il peut être utilement mis à la disposition du
personnel un site web permettant de signaler
depuis le domicile toute absence au travail.
Le message est ensuite relayé au responsable
WcbWYfb�"�9b�WUg�XY�g]b]ghfY �ib�hY`�cih]`�dYfaYh�de gérer les absences en nombre.
@U�ZcfaUh]cb�Xi�dYfgcbbY`��Yh�bchUaaYbh�des suppléants) doit apporter la capacité à
UggifYf�XYg�dcg]h]cbg�XY�hfUjU]`�X]ZZ�fYbhYg" Il est recommandé d’avoir une gestion des
WcbbU]ggUbWYg�XUbg�̀ »cf[Ub]gUh]cb�ei]�ZUW]`]hYfU�`U�f�XUWh]cb�Xi�D75�Yh�̀ »UWW�g�Uil�]bZcfaUh]cbg�ih]`Yg�dUf�XYg�dYfgcbbYg�X]ZZ�fYbhYg�Yh�XYdi]g�XYg�̀ ]Yil�X]ZZ�fYbhg�XYg�acXU`]h�g�\UV]hiY``Yg"
exigences pour les systèmes d’information et de communication7YhhY�dUfh]Y�Ygh�dUfZc]g�UddY`�Y�d`Ub�XY�Wcbh]!bi]h��]bZcfaUh]eiY��D7=��dUf�cddcg]h]cb�Ui�plan de continuité « métier » (PCM).
@Yg�cV^YWh]Zg�XY�8A=5 �8AFD�Yh�D8A5�cbh�XYg�Wcbg�eiYbWYg�hf�g�X]fYWhYg�gif�`Yg�gc`ih]cbg�techniques à prévoir :
8�WcidYf�̀ Y�gmgh�aY�X»]bZcfaUh]cb�Yb�d`UeiYg�gYWcifUV`Yg�\cac[�bYg" F�U`]gYf�ibY�UfW\]hYWhifY�Xi�gmgh�aY�X»]bZcf!
aUh]cb�dYfaYhhUbh�XY�f�dcbXfY�Uil�Yl][YbWYg�X�Ã�b]Yg�Yb�hYfaYg�XY�X�`U]�XY�gYWcifg�Yh�XY�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y�.- niveau de redondance et d’éloignement des
centres de secours,
- gmgh�aY�{�\UihY�X]gdcb]V]`]h��dcif�ibY�dUfh]Y�des applications les plus critiques (réplica-
tion synchrone),
- gmgh�aY�dYfaYhhUbh�ibY�fYdf]gY�{�W\UiX �UjYW�ib�fYX�aUffU[Y�dfc[fYgg]Z�XYg�Udd`]WUh]cbg �par ordre de priorité,
- gmgh�aY�dYfaYhhUbh�ibY�fYdf]gY�{�Zfc]X �{�dUfh]f�XY�̀ U�XYfb]�fY�gUijY[UfXY �UjYW�[Ygh]cb�Ã�bY�XY�`U�d\UgY�XY�fYWcijfYaYbh"
7cbhfUWhiU`]gYf�`Yg�dfYghUh]cbg�YlhYfbYg�Yb�aUh]�fY�X»Yl][YbWYg�XY�Wcbh]bi]h��X»UWh]j]h� �ZcfaU`]gYf�`U�aU]bhYbUbWY�UjYW�XYg�Yb[U[Y!ments de résultats.
Disposer de moyens de télécommunication
g�Wif]g�g� XY� gYWcifg� �dUf� YlYad`Y� UWW�g�dUf�gUhY``]hY �acmYbg�fUX]c�df]j�g �gmgh�aYg�d’alerte robustes). Pour ce qui concerne l’État,
XYg�f�gYUil�gd�W]Ã�eiYg�\UihYaYbh�fcVighYg�de phonie et de transmission de données sont
a]g�Yb�µijfY"�7Yg�f�gYUil �hchU`YaYbh�]bX�!
dYbXUbhg�XYg�f�gYUil�diV`]Wg�Wcbhf]ViYbh�{�la résilience en cas de catastrophe. L’adoption
XY�hY`g�X]gdcg]h]Zg�Xc]h��hfY�Ybj]gU[�Y�dUf�`Yg�cf[Ub]gUh]cbg�ei]�X�dYbXYbh�ZcfhYaYbh�XYg�moyens de télécommunication pour assurer la
gestion de crise et la mise en œuvre de leur PCA.
Externalisation des sites de secours : Gc`ih]cb�UhhfUWh]jY�Xi�dc]bh�XY�jiY��bUb!
cier (coût d’acquisition remplacé par un coût
annuel du contrat).
J�f]Ã�Yf�WYdYbXUbh�`Y�b]jYUi�XY�gYfj]WY�Yh�`Yg�acXU`]h�g�XY�Wcbh]bi]h� �`»Yl]ghYbWY�XY�séances d’entraînement, l’évolutivité au cours
du temps, le risque que plusieurs clients du
a�aY�g]hY�XY�gYWcifg�ZUggYbh�jU`c]f�̀ Yif�Xfc]h�au même moment, la protection des données
dYbXUbh�ci�Udf�g� `»ih]`]gUh]cb�Xi�g]hY�XY�secours, etc.
Les sauvegardes : La procédure de récupération des sauve-
[UfXYg�Xc]h��hfY�UggYn�Ä�Yl]V`Y�dcif�dcijc]f�Uigg]�V]Yb�fY`UbWYf�fUd]XYaYbh�`Yg�gmgh�aYg�critiques de l’organisation que relancer, même
UjYW�XYg�X�`U]g�UWWfig �̀ »YbgYaV`Y�Xi�gmgh�aY" La procédure de récupération des sauve-
gardes doit être testée sur l’ensemble des
gYfjYifg�Yh�gmgh�aYg�ih]`]g�g�dUf�ibY�UWh]j]h��XY�`»cf[Ub]gUh]cb�Yh�j�f]Ã��Y�dUf�`Yg�fYgdcb!sables « métier ».
Il est également recommandé de disposer
de vielles sauvegardes (6 mois à 1 an) pour
améliorer la robustesse des procédures de
sauvegarde.
Les moyens de télécommunication : =`�Ygh�fYWcaaUbX��XY�j�f]Ã�Yf�`Yg�dcgg]V`Yg�
vulnérabilités de l’opérateur (connaissance de
l’architecture logique et physique, des dispo-
g]h]Zg�XY�g�Wif]h��Yh�XY�Wcbh]bi]h��X»UWh]j]h�¯�" @U�ai`h]d`]WUh]cb�X»cd�fUhYifg�b»Ygh�dUg�Zcf!
cément un gage de moindre vulnérabilité (une
panne simultanée peut résulter du partage
X»]bZfUghfiWhifYg�YbhfY�cd�fUhYifg�X]ZZ�fYbhg �de l’usage du même matériel ou d’un même
Zcifb]ggYif�XY�`c[]W]Y`�" Il est recommandé de disposer de moyens de
télécommunication indépendants d’Internet
et des opérateurs publics (par satellite, par
radio, par messagerie unilatérale « paging »,
page suivante
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Guide pour réaliser un plan de continuité d’activité 43
les fiches pratiques 8��b]f�`Yg�Yl][YbWYg�gif�`Yg�fYggcifWYg�b�WYggU]fYg�Ui�D75 :=7<9�16page 3/3
dUf�h�`�d\cb]Y�Ã�lY�hfUX]h]cbbY``Y �Yb�ih]`]gUbh�lorsque cela est possible des moyens sécu-
f]g�g�[cijYfbYaYbhUil��U]bg]�eiY�XY�hYfa]!bUil�dcijUbh�ZcbWh]cbbYf�gUbg�U`]aYbhUh]cb��`YWhf]eiY�YlhYfbY�{�`»cf[Ub]gUh]cb��WcifUbh�gYWcifi�UjYW�[�b�fUhYif�]bhYfbY �ZcbWh]cbbY!ment sur batterie).
Il convient d’utiliser ces moyens de télécommu-
b]WUh]cb�f�[i`]�fYaYbh�Yb�g]hiUh]cb�bcfaU`Y �pour pouvoir les utiliser aisément en situation
YlWYdh]cbbY``Y"
@U��W\Y�B�%+�X�Wf]h�d`ig�Yb�X�hU]`�`Yg�a�WU!nismes de relations avec les partenaires
�dfYghUhU]fYg �Zcifb]ggYifg �gcig�hfU]hUbhg�"�=`�Ygh�WcbgY]``��XY�gY�fYdcfhYf�{�WYhhY�Ã�W\Y�dcif�d`ig�X»]bZcfaUh]cbg�WcbWYfbUbh�`Yg�VcbbYg�pratiques avec les partenaires.
exigences pour les processus et l’organisation@»cV^YWh]Z�Ã�bU`��hUbh�XY�aU]bhYb]f�XYg�Udd`]!cations « métier » critiques, les processus
critiques correspondants doivent avoir été
]XYbh]Ã��g �UjYW�̀ Yg�gc`ih]cbg�dYfaYhhUbh�X»Ug!gifYf�`Yif�Wcbh]bi]h��Yh�fYgdYWhYf�`»cV^YWh]Z�de DMIA :
=XYbh]Ã�Yf�`Yg�gc`ih]cbg�XY�WcbhcifbYaYbh�dUf�X»UihfYg�dfcWYggig��dUf�YlYad`Y�bY�ZU]!gUbh�dUg�UddY`�Uil�gmgh�aYg�X»]bZcfaUh]cb��UÃ�b�XY�hYb]f�`»cV^YWh]Z�XY�Xif�Y�aUl]aU`Y�d’interruption acceptable, avant de disposer
d’une solution de contournement (DMIA).
7YhhY�gc`ih]cb�dU``]Uh]jY�df�W�XY�̀ Y�ZcbWh]cb!nement en mode secours.
B�Ubac]bg�]`�Ygh�XY�d`ig�Yb�d`ig�X]ZÃ�W]`Y�XY�ZcbWh]cbbYf�gUbg�`U�fYggcifWY�]bZcfaU!tique (les données ne sont généralement
d`ig�X]gdcb]V`Yg�gcig�ZcfaY�dUd]Yf�"�=`�ZUih�XcbW�cf[Ub]gYf�`U�X]gdcb]V]`]h��XY�`»UWW�g�{�ib�g]hY�X]ghUbh�X]gdcgUbh�XYg�]bZcfaUh]cbg��a�h]Yf�®�YggYbh]Y``Yg �dcif�ZUW]`]hYf�̀ U�Wcbh]!nuité d’activité.
Les priorités de reprise des processus doi-
jYbh��hfY�X�Ã�b]Yg �U]bg]�eiY�̀ Yg�WcbX]h]cbg�ei]�dYfaYhhYbh�`U�fYdf]gY�XUbg�`»cfXfY�df�X�Ã�b]"
Par ailleurs, l’organisation doit disposer de
la capacité à revoir et adapter les processus
Yb�ZcbWh]cb�XY�`»�jc`ih]cb�XY�`U�g]hiUh]cb"9bÃ�b�`Yg�dfcWYggig�gd�W]Ã�eiYg�XY�a]gY�Yb�
µijfY�Xi�D75�XYjfcbh��hfY�X�Ã�b]g�Yh�]bh�[f�g�dans les processus de l’organisation.
exigences pour les ressources intellectuelles =`�g»U[]h�X»Yl][YbWYg�fY`Uh]jYg�Ui�aU]bh]Yb�XY�la disponibilité des ressources intellectuelles
tenant compte de scénarios d’attaques écono-
miques notamment par intrusion dans les sys-
h�aYg�X»]bZcfaUh]cb��pour plus de précisions
{�WY�gi^Yh �]`�Ygh�fYWcaaUbX��XY�Wcbgi`hYf�`Y�Guide de l’intelligence économique dont les
f�Z�fYbWYg��[ifYbh�Yb�UbbYlY).
exigences pour les infrastructures=`�g»U[]h�XYg�aYgifYg�ei]�dYfaYhhYbh�Uil�g]hYg�Wf]h]eiYg�XY�ZcbWh]cbbYf�Yb�acXY�X�[fUX� �ainsi que les solutions permettant de basculer
rapidement l’activité concernée vers des sites
de replis :
Installer les équipements techniques des
g]hYg�Wf]h]eiYg�XUbg�XYg�ncbYg�a]Yil�dfch�!gées (éviter les sous-sols inondables pour les
�ei]dYaYbhg�]bZcfaUh]eiYg �̀ Yg�[fcidYg��`YW!hfc[�bYg�ci�̀ Yg�f�dUfh]hYifg�{�VUggY�hYbg]cb).
Assurer une redondance de sites critiques,
bchUaaYbh�XYg��ei]dYaYbhg�]bZcfaUh]eiYg �par des procédures de duplication adaptées
Uil�cV^YWh]Zg�XY�Wcbh]bi]h� �Yh�ibY�X]ghUbWY�d\m!sique évitant de subir les mêmes dommages.
Assurer le dimensionnement du site de
gYWcifg�Yb�ZcbWh]cb�XYg�UWh]j]h�g�^i[�Yg�Wf]!tiques qui pourront y être localisées.
=XYbh]Ã�Yf�XYg�gc`ih]cbg�XY�fYd`]g��WUdUW]h��X»UWWiY]` �WcadUh]V]`]h��hYW\b]eiY �ZUW]`]h��X»UWW�g �aUh�f]Y`�XY�hfUjU]` �fYggcifWYg�]bZcf!aUh]eiYg �X]gdcg]h]Z�X»UWh]jUh]cb �YhW"�" Pré-équiper les solutions de replis avec des
X]gdcg]h]Zg�X»UWh]jUh]cb�dYfaYhhUbh�`Y�ZcbW!tionnement des activités relocalisées dans les
X�`U]g�dfYgWf]g�.�X�`U]�aUl]aU`�XY�fYdf]gY�df�ji�dcif�ZcbWh]cbbYf�Yb�acXY�gYWcifg��8AFD�"
exigences pour les prestataires externes et les partenaires7cadhY�hYbi�XY�gcb�]adcfhUbWY �WY�gi^Yh�Ygh�X�hU]``��XUbg�`U��W\Y�gi]jUbhY"
exigences pour le fonctionnement en mode dégradéGY�fYdcfhYf�{�`U�Ã�W\Y�B�%)"
44Guide pour réaliser un plan de continuité d’activité
45Guide pour réaliser un plan de continuité d’activité
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�®
page 1/4
page suivante
le terme « partenaires » recouvre dans un premier temps tous les organismes externes qui apportent des services dont dépend le bon
ZcbWh]cbbYaYbh�XY�`»cf[Ub]gUh]cb"�7Y�gcbh�notamment :
Les sous-traitants ei]�YZZYWhiYbh�XYg�dfYghU!tions de support à la demande, pour le compte
Xi�aU�hfY�X»cijfU[Y��dUf�YlYad`Y�XYg�h|W\Yg�XY�aU]bhYbUbWY �XY�ZcfaUh]cb �X»\�VYf[Y!aYbh �XY�gifjY]``UbWY�ci�XY�hfUjUil �dcijUbh�U``Yf�̂ igei»{�̀ U�f�U`]gUh]cb�XY�h|W\Yg�hciW\Ubh�directement le cœur de métier de l’organisa-
tion, avec des responsabilités pouvant aller
^igei»{�̀ U�X�`�[Uh]cb�XY�aU�hf]gY�X»cijfU[Y�"� @Yg�dfYghUhU]fYg�XY�gYfj]WYg�YlhYfbYg��YUi �
�bYf[]Y �h�`�Wca �Ä�i]XYg�]bXighf]Y`g��Xcbh�̀ U�Zcifb]hifY�Ygh�YggYbh]Y``Y�Ui�Vcb�ZcbWh]cbbY!ment de l’organisation.
Les fournisseurs�XY�aUh]�fY�dfYa]�fY �Yb�amont d’une chaîne logistique qui regroupe
`»YbgYaV`Y�XYg�Ä�il�XY�aUh]�fYg �X»]bZcfaU!tions et de ressources qui sont activés pour
répondre à une demande de client.
Les gestionnaires� X»UWh]j]h�g� YlhYfbYg�b�WYggU]fYg�Ui�Vcb�ZcbWh]cbbYaYbh�XY�`»Yb!j]fcbbYaYbh�XY�`»cf[Ub]gUh]cb��dUf�YlYad`Y�`U�Zcifb]hifY�XY�hfUbgdcfh�Wc``YWh]Z�dcif�`Y�personnel et le transport de marchandises,
de colis et de courrier).
7Yg�dUfhYbU]fYg�dYijYbh��hfY�eiU`]Ã��g�XY�Wf]!tiques s’ils sont indispensables pour assurer la sécurité des activités essentielles de l’or-ganisation et des processus critiques qui les sous-tendent. @U�Wf]h]W]h��Ygh�X»UihUbh�d`ig�ZcfhY�eiY�̀ Yg�acmYbg�XY�giVgh]hih]cb�gcbh�X]ZÃ�W]`Yg�à trouver, notamment dans les cas suivants :
Importance du poids du partenaire dans la
jU`Yif�U^cih�Y�XY�`»cf[Ub]gUh]cb"
FUfYh��XY�`U�aUh]�fY�dfYa]�fY�Zcifb]Y" Ib]W]h��Xi�Zcifb]ggYif�XUbg�ib�XcaU]bY�
d’activité.
5VgYbWY�X»UihfYg�Zcifb]ggYifg�UmUbh�̀ U�a�aY�qualité de service.
:cbWh]cbbYaYbh�gUbg�ghcW_"
Dans de telles situations, la coopération s’im-
pose et peut se matérialiser dans les termes
du contrat qui lie le partenaire à l’organisation
W`]YbhY"�9b�YZZYh �XUbg�gcb�UbU`mgY�XY�f]geiY�l’organisation doit prendre en compte les
risques provenant de ses partenaires, les
évaluer et s’assurer que des solutions de trai-
hYaYbh�cbh��h��X�Ã�b]Yg"�7Y`U�giddcgY�eiY�l’organisation dispose d’une connaissance
giZ�gUbhY�XYg�f]geiYg��cWWiffYbWY�Yh�]adUWhg��de ses partenaires et des solutions mises en
œuvre pour les limiter. Dans le prolongement
de ce travail et pour ce qui concerne la conti-
nuité d’activité, l’organisation doit connaître
`Yg�X]gdcg]h]Zg�df�jig�dUf�gcb�dUfhYbU]fY �`U�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb�X»UWh]j]h��UWWYdhUV`Y�ei]�̀ i]�Ygh�[UfUbh]Y �̀ Yg�X]gdcg]h]Zg�dYfaYhhUbh�XY�Zcifb]f�ib�gYfj]WY�a]b]aia�Yh�`Yg�acXU`]h�g�XY�WY�ZcbWh]cbbYaYbh�Yb�mode dégradé, ainsi que l’organisation et les
procédures de gestion de crise.
Les termes du contrat vont donc au-delà de
`U�g]ad`Y�Zcfai`Uh]cb�X»cV^YWh]Zg�UjYW�d�bU!lités, car ils doivent permettre à l’organisa-
tion d’intégrer les risques et les mesures de
sécurité et de continuité d’activité de son
(ses) partenaire(s).
Pour les organisations qui assurent des
prestations de prises de commande et
`]jfU]gcb�Yh�ei]�Wcbhf�`Ybh�hcih�ci�dUfh]Y�
objectif
@Yg��dUfhYbU]fYg�®�fYWcijfYbh�XY�bcaVfYil�hmdYg�XY�ghfiWhifYg�Yb�fY`Uh]cb�UjYW�`»cf[Ub]gUh]cb"�@U�Wcadf�\Ybg]cb�XY�`Yifg�ZcbWh]cbbYaYbhg�Ygh�YggYbh]Y``Y�{�`U�gestion de risque et à la continuité d’activité de l’organisation.
:=7<9�17
déFinir les eXigencesvis-À-vis des « partenaires »
Guide pour réaliser un plan de continuité d’activité 46
9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�® :=7<9�17page 2/4
les fiches pratiques
d’une chaîne logistique il est recommandé
XY�dfYbXfY�WcbbU]ggUbWY�XY�`U�gd�W]Ã�WUh]cb�=GC#D5G#&,$$%�ei]�X�Ã�b]h�`Yg�df]bW]dYg�XY�gestion de la sûreté de la chaîne logistique.
7YhhY�gd�W]Ã�WUh]cb�]bg]ghY�gif�̀ U�W`Uf]Ã�WUh]cb�YbhfY�̀ Yg��`�aYbhg�eiY�̀ »cf[Ub]gUh]cb�Wcbhf�`Y�Yh�WYil�ei]�gcbh�gcig�`Y�d]`chU[Y�X»ib�dUfhY!naire. Il est alors recommandé de demander
ib�UiX]h�ci�ibY�jU`]XUh]cb�XY�`U�WcbZcfa]h��Xi�dUfhYbU]fY�{�WYhhY�gd�W]�WUh]cb.
plus généralement, plusieurs approches peuvent être utilisées par l’organisation vis-à-vis d’un partenaire : Demander au partenaire une déclaration de
WcbZcfa]h��{�XYg�bcfaYg�XY�[Ygh]cb�Xi�f]geiY�et de continuité d’activité et l’autorisation
de procéder à des revues17 des processus et
XYg�]bghU``Uh]cbg �dcif�j�f]Ã�Yf�̀ U�jU`]X]h��XYg�X�W`UfUh]cbg �WYW]�UjYW�ibY�Zf�eiYbWY�X�hYf!a]b�Y�Yb�ZcbWh]cb�Xi�b]jYUi�XY�f]geiY" 8YaUbXYf�ib�WYfh]Ã�WUh�ci�ibY�jU`]XUh]cb�cZÃ�!
W]Y``Y�XY�WcbZcfa]h��dUf�fUddcfh�Uil�bcfaYg�XY�gestion du risque et de continuité d’activité.
8YaUbXYf�ibY�Wcb�faUh]cb�XY�WcbZcfa]h��avec des normes de gestion du risque et de
Wcbh]bi]h��X»UWh]j]h� �Uggcfh]Y�X»ibY�j�f]Ã�WU!h]cb�XY�WYhhY�WcbZcfa]h��dUf�ibY�h]YfWY�dUfh]Y�XY�WcbÃ�UbWY" Ci�]bghUifYf�ibY�X�aUfW\Y�Wccd�fUh]jY �dUf�
l’élaboration commune de la stratégie de PCA
Yh�XYg�X]gdcg]h]Zg�Yh�dfcW�XifYg�UggcW]�g �Yh�la recherche en commun d’améliorations
continues.
Ces approches peuvent cependant susci-
hYf�XYg�f�gYfjYg�WcbWYfbUbh�`»UWW�g�{�XYg�]bZcfaUh]cbg�gYbg]V`Yg �bchUaaYbh�XUbg�ib�environnement concurrentiel ou quand les
]bZcfaUh]cbg�gcbh�W`Ugg]Ã��Yg"�@»cf[Ub]gUh]cb�dYih�U`cfg�g»UVghYb]f�XY�XYaUbXYf�WYg�]bZcf!mations à son partenaire, si celui-ci est
WYfh]Ã���dUf�ib�cf[Ub]gaY�h]Yfg�XY�WcbÃ�UbWY �accrédité par un organisme compétant, ou
%+�#�7YW]�dYih��hfY�ZUW]`]h��dUf�`»UWW�g�Uil�gmgh�aYg�X»]bZcfaUh]cbg�.�hfU�UV]`]h��XYg�]bW]XYbhg �[Ygh]cb��j�bYaYbh]Y``Y �hUV`YUi�XY�VcfX�gif�internet, outils de suivis des actions.
%,�#�DUf�YlYad`Y �Yb�Udd`]WUh]cb�XYg�WcbjYbh]cbg�]bhYfbUh]cbU`Yg�XciUb]�fYg �`Y�ghUhih�X»cd�fUhYif��Wcbca]eiY�U[f����C95� �ei]�dYfaYh�XY�X]gh]b[iYf�`Yg�cd�fUhYifg�WcaaibUihU]fYg�`Yg�d`ig�Ã�UV`Yg �XUbg�ibY�`c[]eiY�XY�`UVY``]gUh]cb�eiU`]h���f�[`YaYbh�b�%,+)#&$$*�Xi�%,�X�WYaVfY�&$$*�"
page suivante
jU`]X��dUf�ib�X]gdcg]h]Z�[cijYfbYaYbhU`18.
Ces procédures peuvent en outre générer un
net avantage commercial pour les entreprises
concernées.
Il est par conséquent recommandé que l’or-
ganisation associe ses partenaires à l’élabo-
ration de son PCA, en couvrant notamment
les domaines suivants :
Formation commune.
DUfhU[Y�X»YldYfh]gY" Études de vulnérabilités.
Analyses de risques.
Formalisation des engagements de conti-
nuité (DMIA).
8]gdcg]h]Zg�XY�Wcbh]bi]h�" Mutualisation de moyens.
Travail sur les processus transverses.
Fonctionnement en mode dégradé.
7cbXi]hY�WcaaibY�XY�dfc^Yh" 9lYfW]WYg�Wcaaibg"
La démarche habituelle pour limiter le risque fournisseur consiste à multiplier les fournis-seurs, mais cette démarche se heurte à deux X]ZÃ�Wi`h�g�. 9``Y�[�b�fY�ib�gifWc�h �dUf�ibY�dYfhY�X»�Wc!
nomie d’échelle.
@Yg�Zcifb]ggYifg�X]ZZ�fYbhg�dYijYbh�df�gYb!ter les mêmes risques.
il est par conséquent souhaitable de : 8fYggYf�`U�`]ghY�XYg�df]bW]dUil�WcbhfUhg�
détaillant ce qui est garanti en cas de sinistre.
GYbg]V]`]gYf�`Yg�Zcifb]ggYifg�Ui�VYgc]b�XY�conduire une analyse de risque et de disposer
d’un plan de continuité d’activité.
8YaUbXYf�ibY�WYfh]�WUh]cb�XY�WcbZcfa]h��{�`U�bcfaY�=GC�&&'$%" Conduire une analyse de risques en liaison
UjYW�̀ Yg�Zcifb]ggYifg �Yh�Yb�X�Xi]fY�̀ Y�b]jYUi�X»Yl][YbWY�XY�Wcbh]bi]h��{�XYaUbXYf�Uil�Zcifb]ggYifg �ei]�gc]h�WcadUh]V`Y�UjYW�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h��XY�`»cf[Ub]gUh]cb"
47Guide pour réaliser un plan de continuité d’activité
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�®
page 3/4
:=7<9�17
Contractualiser le niveau du service
demandé comprenant des engagements
de qualité de service, de disponibilité, de
Garantie de Temps de Rétablissement (GTR)
ci�Xif�Y�aUl]aU`Y�X»]bhYffidh]cb�UWWYdhUV`Y�(DMIA).
7cbhfUWhiU`]gYf��jYbhiY``YaYbh�̀ »Yl]ghYbWY�de moyens d’intervention ou de secours
dYfaYhhUbh�XY�dcijc]f�ZcbWh]cbbYf�Yb�acXY�dégradé ou limitant l’interruption d’activité à
ib�gYi]`�df�X�Ã�b]��dUf�YlYad`Y�Zcifb]hifY�XY�[fcidY��`YWhfc[�bY�UjYW�ib�Xfc]h�df]cf]hU]fY�" Disposer d’une capacité d’appréciation de
l’analyse de risque, des vulnérabilités et du
d`Ub�XY�Wcbh]bi]h��X»UWh]j]h��Xi�Zcifb]ggYif" 5jc]f�UWW�g�Uil�f�gi`hUhg�XYg�UiX]hg�XY�`U�
[Ygh]cb�XYg�f]geiYg�Yh�Xi�D75�Xi�Zcifb]ggYif" Préciser les responsabilités.
vhiX]Yf�`Yg�]ad`]WUh]cbg�XYg�WUg�XY�ZcfWY�aU^YifY" 9bj]gU[Yf�`U�dcgg]V]`]h��X»]bhYfbU`]gYf�WYf!
hU]bYg�ZcbWh]cbg" 8�Ã�b]f�XYg�dfcWYggig�UXa]b]ghfUh]Zg�X»UWei]!
g]h]cb�YlWYdh]cbbY`g �Yb�WUg�XY�X�dUggYaYbh�XYg�Uihcf]gUh]cbg�XY�d`UZcbX�igiY``Yg �XUbg�XYg�g]hiUh]cbg�XY�hf�g�[fUjYg�X�[|hg�giV]g"
une attention particulière devra être apportée aux interdépendances entre enti-tés et notamment aux effets en cascade. la démarche suivante est proposée en ce sens :
1. la première étape�Wcbg]ghY�{�]XYbh]Ã�Yf�les liens en chaîne entre les organisations,
Selon la nature de ces liens :- géographique (co-localisation et donc
dépendance des parties communes, ou
dfcl]a]h��Wf�Ubh�ibY�ji`b�fUV]`]h��Uil�WUhUghfcd\Yg�jc]g]bYg�.�Yld`cg]cbg �]bWYb!X]Yg �hcl]W]h��XY�`»Uhacgd\�fY �YhW"�
- logique, avec dépendance directe
�Zcifb]ggYif� XY� dfcXi]hg� ci� gYfj]WY �UmUbh�ib� f�`Y�YggYbh]Y`�XUbg� `U�W\U�bY�d’approvisionnement),
- Logique, avec dépendance indirecte
(moyens de transport publics, état des
routes),
- ZcbWh]cbbY`��WYfhU]bg�hfU]hYaYbhg�X�dYb!dent de prestations assurées par des
sous-traitants).
Résultant d’une vulnérabilité partagée entre
organisations sans lien entre elles :
- utilisation d’un même matériel ou logiciel
critique,
- ih]`]gUh]cb�X»ib�a�aY�Zcifb]ggYif�XY�gYfj]WY�(c’est typiquement le cas d’organisations
X]ZZ�fYbhYg�UmUbh�gcig!hfU]h��`»\�VYf[YaYbh�XY��`Yifg�WYbhfYg�]bZcfaUh]eiYg�{�ibY�a�aY�société).
Consécutifs à une catastrophe touchant une
jUghY�ncbY�[�c[fUd\]eiY�Yh�dUf�Wcbg�eiYbh�UZZYWhUbh�X]fYWhYaYbh�XYg�cf[Ub]gUh]cbg�]bX�!dYbXUbhYg�gY�hfcijUbh�XUbg�WYhhY�ncbY�ci �gUbg�ei»Y``Yg�gc]Ybh�X]fYWhYaYbh�UZZYWh�Yg �giV]g!sant les contrecoups d’autres organisations
X]fYWhYaYbh�UZZYWh�Yg�UjYW�`YgeiY``Yg�Y``Yg�cbh�XY�ZcfhYg�]bhYfX�dYbXUbWYg�.- crise sanitaire contagieuse grave,
- catastrophe naturelle.
2. la deuxième étape consiste à analyser les
menaces, les vulnérabilités, les impacts et la
propagation de ces impacts le long de la chaîne
des interdépendances.
=`�Ygh�U`cfg�dcgg]V`Y�XY�ZcfaU`]gYf�. @Yg�Yl][YbWYg�YbhfY�dUfhYbU]fYg�`]�g�dUf�
WcbhfUhg��WZ"�`Y�WUg�XYg�dUfhYbU]fYg�YlhYfbYg �vu au paragraphe précédent).
@Yg�gd�W]Ã�WUh]cbg�XY�WYfhU]bYg�]bghU``Uh]cbg�ci�ZcbWh]cbg�Xcbh�̀ U�[Ygh]cb�Ygh�dUfhU[�Y �Yh�ei]�XYjfcbh�fYgdYWhYf�XYg�Yl][YbWYg�XY�Wcbh]bi]h��d’activité,
Les modalités de coordination durant une
crise (partage des renseignements de veille,
XYg�]bZcfaUh]cbg�gif�̀ Y�g]b]ghfY �a]gY�Yb�f�gYUi�des responsables de PCA, constitution de dis-
dcg]h]Zg�X»Ugg]ghUbWY�Yh�X»U]XY�Uil�X�W]g]cbg �partage de l’analyse de situation).
La mutualisation possible de certaines res-
gcifWYg�dYfaYhhUbh�XY�ZUW]`]hYf�̀ U�Wcaaib]WU!tion, l’intervention ou la continuité d’activité,
gcig�f�gYfjY�XY�f�[`Yg�XY�df]cf]h��X»UWW�g" @Yg�acXU`]h�g�XY�WccfX]bUh]cb�Udf�g�̀ U�d\UgY�
d’urgence, quand il s’agit de reprendre les acti-
vités économiques, de prioriser collectivement
`»YbW\U�bYaYbh�XYg��hUdYg�dcif�Ua�`]cfYf�̀ »YZ!Ã�WUW]h��XYg�YZZcfhg�Yh�̀ U�fUd]X]h��XY�̀ U�fYdf]gY" Le cas particulier de la chaîne logistique
Xc]h�ZU]fY�`»cV^Yh�XY�`U�d`ig�[fUbXY�UhhYbh]cb�WUf�Y``Y�]bW`ih�`Y�d]`chU[Y�XYg�Ä�il�Xi�Zcif!
page suivante
Guide pour réaliser un plan de continuité d’activité 48
9l][YbWYg�j]g!{!j]g�XYg��dUfhYbU]fYg�® :=7<9�17page 4/4
les fiches pratiques
b]ggYif�{�`»ih]`]gUhYif�Ã�bU`�dcif�UhhY]bXfY�`»cV^YWh]Z�gci\U]h��dUf�̀ »cf[Ub]gUh]cb"�@U�ZcbW!tion de gestion de la chaîne logistique doit
bchUaaYbh�UggifYf�̀ Y�̀ ]Yb�UjYW�̀ Yg�ZcbWh]cbg�« achats », « relations clients » et « gestion
de la vie des produits », tout en assurant les
acmYbg�dcif�`U��ZUVf]WUh]cb�®�Yh�`U��aU]b!hYbUbWY#f�dUfUh]cb�®"�@Yg�YZZYhg�X»ibY�dYfhY�de ressource critique peuvent donc aisément
se propager le long de la chaîne logistique,
g]�`Yg�X]gdcg]h]Zg�X�Wf]hg�d`ig�\Uih�bY�gcbh�pas mis en œuvre.
9bÃ�b �̀ Yg��dUfhYbU]fYg�®�fYWcijfYbh��[U`Y!ment les organismes externes qui reçoivent, en aval, des services ou des produits de l’or-ganisation.�@»cf[Ub]gUh]cb�Xc]h�Yb�YZZYh�gY�préoccuper des conséquences que pourrait
Ujc]f�ib�XmgZcbWh]cbbYaYbh�ci�ib�Uff�h�XY�
son activité sur son environnement direct ou
indirect. C’est notamment le cas des opéra-
teurs désignés « d’importance vitale » parce
eiY�`Yif�Vcb�ZcbWh]cbbYaYbh�Ygh�YggYbh]Y`�pour celui de la société (la sécurité ou la
capacité de survie de la Nation, son potentiel
de guerre ou économique, la santé ou la vie
de la population)%-.
L’analyse de risque ne doit donc pas se limi-
hYf�Uil�f]geiYg�dcif�̀ »cf[Ub]gUh]cb �aU]g�Xc]h�inclure les risques pour son environnement,
ses partenaires situés en aval ou ses clients.
Le plan de continuité doit ainsi prendre en
compte les conséquences en aval, qui sont en
XY\cfg�Xi�d�f]a�hfY�ghf]Wh�XY�̀ »cf[Ub]gUh]cb �mais dont les besoins de continuité peuvent
�hfY�hf�g�Zcfhg"�Ib�hY`�hfUjU]`�dYih�b�WYgg]hYf�une collaboration avec les services de l’État,
gardiens de l’intérêt général.
19 /article r. 1332-1 du code de la défense.
49Guide pour réaliser un plan de continuité d’activité
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Les relations avec les services de l’État
page 1/2
page suivante
le rôle de l’état, qui doit être intégré dans les pca des entreprises, résulte de sa fonction de gardien de l’intérêt national.�=`�g»U[]h�X»ib�f�`Y�essentiel lors de grandes crises dépassant
WY�ei»ibY�cf[Ub]gUh]cb�dYih�UZZfcbhYf�gYi`Y"�9b�YZZYh �ZUWY�Uil�g]hiUh]cbg�XY�W\Ucg�`Y�f�`Y�de l’État consiste notamment à apprécier les
df]cf]h�g�XUbg�`»]bh�f�h�[�b�fU` �X�Ã�b]f�XYg�stratégies collectives de réponse, donner du
gYbg�{�̀ »UWh]cb �Yb[U[Yf�XYg�acmYbg�bUh]cbUil�Yh�Wcaaib]eiYf�Uidf�g�XY�`U�dcdi`Uh]cb�gif�une large échelle.
Le dialogue entre les services de l’État et les
organisations est animé dans les territoires sous
`»Uihcf]h��XYg�df�ZYhg"�=`�Ygh�YggYbh]Y`�dcif�Uggi!rer une bonne préparation et gérer correctement
un plan de continuité d’activité. Cette démarche
doit être proactive, c’est-à-dire qu’une organisa-
h]cb�bY�Xc]h�dUg�UhhYbXfY�̀ U�Wf]gY�dcif�]XYbh]Ã�Yf�les services de l’État avec lesquels elle peut ou
doit communiquer et collaborer. Les actions de
préventions et protection, les mécanismes de
remontée d’incidents et d’alerte, la coordination
lors des interventions, la gestion des priorités,
`»UZZYWhUh]cb�XYg�fYggcifWYg �̀ U�Wcaaib]WUh]cb�Yh�̀ Y�ZcbWh]cbbYaYbh�Ui�a]Yil�Yb�acXY�X�[fUX��sont des domaines d’échanges nécessaires avec
l’État. La connaissance préalable des correspon-
dants et la compréhension de leurs missions
gcbh�dUf�Wcbg�eiYbh�ZcbXUaYbhU`Yg"
7caaY�hcihY�cf[Ub]gUh]cb �`»vhUh�Ygh�X�^{�Zcf!tement concerné par l’élaboration de PCA pour
assurer la continuité des missions régaliennes.
Il est également porteur d’une démarche de
PCA sociétal. Gardien de la continuité des acti-
j]h�g�YggYbh]Y``Yg�dcif�̀ Y�ZcbWh]cbbYaYbh�XY�̀ U�
Nation, il contribue à l’élaboration et à la mise
en place des PCA des organisations publiques
Yh�df]j�Yg �XY�d`ig]Yifg�ZU�cbg"�@Yg�X]gdcg]h]Zg�Yh�XcaU]bYg�X»UWh]cb �̀ ]gh�g�W]!Udf�g�XY�aUb]�fY�bcb�Yl\Uigh]jY �gcbh�Xcbb�g�dcif�YlYad`Y�.
analyse, prévention et gestion des risques : Prescriptions légales et réglementaires pour
certains secteurs (bancaire, santé…) ou cer-
hU]bYg�UWh]j]h�g��hfUbgdcfh�Wc``YWh]Z �UWh]j]h�g�dangereuses pour la population, activités
X»]adcfhUbWY�j]hU`Y�dcif�`Y�ZcbWh]cbbYaYbh�de la Nation...).
7ccfX]bUh]cb�XYg�dfc[fUaaYg�bUh]cbUil�XY�R&D en technologies de sécurité.
G]hYg�X»]bZcfaUh]cb�bUh]cbUil�gif�̀ Yg�f]geiYg�(naturels, de nature terroriste, sécurité écono-
a]eiY �g�Wif]h��]bZcfaUh]eiY �YhW"�" G]hYg�X»]bZcfaUh]cb�XY�df�ZYWhifYg �UjYW�`Y�
schéma directeur départemental d’analyse et
XY�WcijYfhifY�XYg�f]geiYg��Yl�.�G857F�" Démarche nationale de résilience, plans de
df�jYbh]cb �dfchYWh]cb�Yh�]bhYfjYbh]cb��WZ"�d`Ubg�bUh]cbUil �WUfhc[fUd\]Y�XYg�f]geiYg �YhW"�" Assistance des services de la direction centrale
du renseignement intérieur, de la gendarmerie
nationale ou de la direction de la protection et
XY�`U�g�Wif]h��XY�`U�X�ZYbgY�dcif�UbU`mgYf�`Yg�vulnérabilités et préconiser des mesures de
dfchYWh]cb��Jc]f��W\Y�%'�"
veille et information : GhfiWhifYg� Yh� X]gdcg]h]Zg� XY� jY]``Y� XYg�
a]b]gh�fYg" G]hYg� a]b]gh�f]Y`g� X»]bZcfaUh]cb� gif� `Yg�
f]geiYg�Yh�̀ Yg�Wf]gYg �Ugg]ghUbWY�Uil�jcmU[Yifg�à l’étranger…
Services de renseignement.
objectif
@»vhUh�UggifY�X]ZZ�fYbhYg�ZcbWh]cbg�ei]�cbh�ibY�d`UWY�hf�g�]adcfhUbhY�XUbg�`»UbU`mgY�de risque, la prévention, la protection, la préparation et la gestion de crise,
l’intervention et la mise en place de PCA. Il s’agit ici d’aider l’organisation à
]XYbh]�Yf�WYg�ZcbWh]cbg"
:=7<9�18
les relations avec lesservices de l’état
50Guide pour réaliser un plan de continuité d’activité
A�WUb]gaYg�X»U`YfhY��X]gdcg]h]Zg�J][]d]fUhY �suivi des crues…).
Cf[Ub]gaYg�YlYf�Ubh�XYg�a]gg]cbg�XY�gYfj]WYg�publics (Météo France, IRSN…).
gestion de crise : Architecture nationale de gestion de crise
contribuant à la cohérence de l’action, du plus
\Uih�b]jYUi�XY�`»vhUh�^igeiY�XUbg�`Yg�hYff]!hc]fYg �Yb�̀ ]U]gcb�UjYW�̀ Yg�df�ZYhg�Uil�b]jYUil�ncbU`�Yh�X�dUfhYaYbhU` �UjYW�`Yg�Wc``YWh]j]!h�g�hYff]hcf]U`Yg�Yh�`Yg�df]bW]dUil�cd�fUhYifg�concernés.
Élaboration des stratégies de réponse, déclen-
chement des plans d’intervention, mobilisation
des parties prenantes, gestion des priorités,
Yb[U[YaYbh�XY�acmYbg�bUh]cbUil" 7caaib]WUh]cb�UjYW�̀ Y�diV`]W��]bZcfaYf �Wca!
muniquer les consignes comportementales…),.
Relations avec les pays étrangers et l’Union
européenne.
contribution directe au fonctionnement des plans de continuité : 5ddi]� a�h\cXc`c[]eiY� Yh� X]ZZig]cb� XY�
bonnes pratiques pour la continuité des
activités et la résilience nationale.
7ccfX]bUh]cb�XYg�UWhYifg�`cWUil�dUf�`Yg�df�ZYWhifYg" 7ccfX]bUh]cb�XYg�UWhYifg�bUh]cbUil�dUf�`U�
cellule interministérielle de crise.
8�W]g]cbg�Yb�aUh]�fY�X»Uff�h�ci�XY�Wcbh]bi]h��d’activité20.
Actions de coordination, de mutualisation
et de gestion des priorités.
;Ygh]cb�̂ if]X]eiY�XYg�g]hiUh]cbg�YlWYdh]cb!bY``Yg �bchUaaYbh�̀ Y�ZcbWh]cbbYaYbh�Yb�acXY�dégradé.
Réquisitions et apport de ressources
YlWYdh]cbbY``Yg"
Les relations avec les services de l’État :=7<9�18page 2/2
les fiches pratiques
20 /des différences d’appréciation rendent indispensable le dialogue entre l’état et les organismes concernés lorsqu’il s’agit d’interrompre
WYfhU]bYg�UWh]j]h�g�ci�WYfhU]bg�gYfj]WYg�UÃ�b�XY�`]a]hYf�ib�f]geiY�f�g]XiY`��dUfWY�eiY�WY`U�f�dcbX�{�ib�VYgc]b�`cWU`�if[Ybh�ci�dUfWY�eiY�`U�fYdf]gY�XY�`»UWh]j]h��]bhYffcadiY�Ygh�hfcd�cb�fYigY�dcif�`Yg�YbhfYdf]gYg�WcbWYfb�Yg�"�
Guide pour réaliser un plan de continuité d’activité 51
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Le bilan coût/avantages d’un PCA. Comment arbitrer ?
page 1/2
page suivante
Plus l’indisponibilité est longue et plus le
niveau de service demandé est élevé, plus le
Wc�h�Xi�XmgZcbWh]cbbYaYbh�dcif�̀ »cf[Ub]gUh]cb�sera élevé (ce coût est à pondérer par l’appré-
ciation de la probabilité d’occurrence).
�5�WcbhfUf]c �d`ig�`»cV^YWh]Z�XY�fYdf]gY�Ygh�loin et plus le niveau de service demandé est
ZU]V`Y��bchUaaYbh�eiUbX�ib�acXY�X�[fUX��est acceptable), plus le coût des solutions à
aYhhfY�Yb�µijfY�gYfU�ZU]V`Y"
le croisement de ces courbes, associé à l’ap-préciation du risque, permet de déterminer la ghfUh�[]Y�XY�g�Wif]h��Yh�XY�Ã�bU`]gYf�̀ Yg�cV^YWh]Zg�de sécurité.IbY�hY``Y�X�aUfW\Y�bY�dcgY�dUg�XY�dfcV`�aY�quand les coûts des moyens pour mettre en
d`UWY�ib�D75�gcbh�ZU]V`Yg�/�WUf�̀ Yg�gc`ih]cbg�XY�Wcbh]bi]h��dciffcbh��hfY�ZUW]`YaYbh�jU`]X�Yg"�Par contre, si les dépenses sont importantes,
l’investissement ne sera généralement accepté
qu’en cas de menace imminente grave (mais
objectif
±�dUfh]f�XYg�hfUjUil�f�U`]g�g�df�W�XYaaYbh�]`�Ygh�dcgg]V`Y�XY�X�Ã�b]f�`U�VcbbY�UX�eiUh]cb�YbhfY�`»cV^YWh]Z�XY�Wcbh]bi]h���`]��{�`»UhhYbhY�XY�Wcbh]bi]h��dfYbUbh�Yb�compte l’analyse de risque et les scénarios retenus) et la réponse proposée, qui
dYfaYh�XY�[UfUbh]f�eiY�`»cV^YWh]Z�XY�Wcbh]bi]h��dciffU��hfY�UhhY]bh�Yb�hYbUbh�WcadhY�Xi�hmdY�XY�g]b]ghfY�Yh�XY�`U�fYggcifWY�Wf]h]eiY�UZZYWh�Y"
:=7<9�19
le bilan coÛt/avantagesd’un pca. coMMent arBitrer ?
Coût
C1
Coût du PCAC2
Coûtdes conséquencesde l’interruptionde l’activité
Ce schéma montre que les conséquences d’une interruption de l’activité ont un coût C1 qui correspond
{�`U�8if�Y�AUl]aU`Y�X»=bhYffidh]cb�5WWYdhUV`Y��8A=5�"Mais, pour ne pas dépasser ce seuil, il y a un coût du PCA, qui augmente si la DMIA diminue.
8Ubg�̀ Y�gW\�aU�W]!XYggig�̀ Y�D75�U�ib�Wc�h�7& �ei]�Ygh�]bZ�f]Yif�Ui�Wc�h�XYg�Wcbg�eiYbWYg��jYbhiY``Yg"@U�WcadUfU]gcb�YbhfY�`Yg�Wc�hg�7%�Yh�7&�Xc]h�gY�ZU]fY�Yb�hYbUbh�WcadhY�XY�`U�dfcVUV]`]h��XY�g]b]ghfY"�
bilan coÛt/avantage du maintien de l’activité
Coût des conséquences
52Guide pour réaliser un plan de continuité d’activité
il sera souvent trop tard) ou si la demande
est associée à une démarche de gestion du
risque qui permet de valider les scénarios,
XY�eiUbh]Ã�Yf�`Yif�dfcVUV]`]h��X»cWWiffYbWY�et d’optimiser les réponses possibles et la
stratégie de continuité.
Le risque peut valoir d’être assumé sans PCA,
si l’on prend des mesures de prévention et
de protection pour le limiter. La probabilité
de survenue d’un sinistre qui conduirait à
une interruption d’activité diminue d’autant.
Même dans le cas où le coût des conséquences
éventuelles reste élevé, le risque peut valoir
d’être assumé quand les avantages poten-
h]Y`g�gcbh�hf�g�]adcfhUbhg�Yb�fY[UfX�XYg�Wc�hg��X�WcijYfhY�XY�bcijYUil�aUfW\�g �XY�bci!jYUil�W`]Ybhg �Zcifb]hifY�XY�gYfj]WYg�UhhYbXig�par les citoyens, etc.). Dans ce cas il sera plus
X]ZÃ�W]`Y�XY�̂ igh]Ã�Yf�ib�D75�ei]�XYaUbXY�XYg�
investissements importants. Une démarche
UggifUbh]Y``Y�dYih�U`cfg��hfY�Ybj]gU[�Y"�9b�revanche, si l’occurrence du risque ne peut
pas être maîtrisée (catastrophe naturelle,
épidémie, etc.) et si les conséquences de
l’interruption de l’activité sont importantes,
]`�gYfU�d`ig�ZUW]`Y�XY�̂ igh]Ã�Yf�̀ U�a]gY�Yb�d`UWY�d’un PCA, même si l’investissement demandé
est élevé.
9b�ZcbWh]cb�XYg�cV^YWh]Zg��Yh�cV`][Uh]cbg��XY�`»cf[Ub]gUh]cb�Yh�XY�`»Uddf�W]Uh]cb�XYg�X]ZZ�!rents coûts il est possible de revoir à la baisse
ci�{�`U�\UiggY�`Yg�cV^YWh]Zg�XY�Wcbh]bi]h���dUf�YlYad`Y�Yb�UVU]ggUbh�ci�Yb�Ui[aYb!tant la valeur de la durée de l’interruption
X»UWh]j]h��aUl]aU`Y�UXa]gg]V`Y�"�7Y`U�U�XYg�conséquences directes sur le risque possible
et sur le coût du PCA.
Le bilan coût/avantages d’un PCA. Comment arbitrer ? :=7<9�19page 2/2
les fiches pratiques
Coût
C1
Coût du PCAC2
Durée de l’interruption de l’activité
Coûtdes conséquencesde l’interruptionde l’activité
Ce schéma montre que les conséquences d’une interruption de l’activité ont un coût C1 qui correspond
{�`U�8if�Y�AUl]aU`Y�X»=bhYffidh]cb�5WWYdhUV`Y��8A=5�"Mais, pour ne pas dépasser ce seuil, il y a un coût du PCA, qui augmente si la DMIA diminue.
8Ubg�̀ Y�gW\�aU�W]!XYggig�̀ Y�D75�U�ib�Wc�h�7& �ei]�Ygh�]bZ�f]Yif�Ui�Wc�h�XYg�Wcbg�eiYbWYg��jYbhiY``Yg"@U�WcadUfU]gcb�YbhfY�`Yg�Wc�hg�7%�Yh�7&�Xc]h�gY�ZU]fY�Yb�hYbUbh�WcadhY�XY�`U�dfcVUV]`]h��XY�g]b]ghfY"�
Finalisation de la stratégie de continuité
Coût des conséquences
Coût du PCApour assurer le maintien de l’activité(qui croît en fonctiondu niveau d’exigence)
8A=5�ZU]V`Y DMIA élevé
DMIA : Seuil à
ne pas dépasser
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
8�Ã�b]f�`U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�
À ce stade les quatre étapes précédentes du processus d’élaboration du pca sont validées : Étape 1 :�WcbbU]ggUbWY�Xi�WcbhYlhY �XYg�cV^YW!
h]Zg�Yh�WcbhfU]bhYg�XY�̀ »cf[Ub]gUh]cb �XYg�UWh]j]h�g�essentielles et processus clés.
Étape 2 : connaissance des besoins de conti-
nuité des activités essentielles et processus
associés, ainsi que des coûts de l’interruption
d’activité.
Étape 3 : ]XYbh]Ã�WUh]cb�XYg�f]geiYg �dfcVUV]!lité d’occurrence et impacts, et des priorités
XY�hfU]hYaYbh�/��hUV`]ggYaYbh�XYg�gW�bUf]cg�{�prendre en compte dans le PCA.
Étape 4 :�]XYbh]Ã�WUh]cb�XYg�aYgifYg�Yh�jU`c!risation des coûts du PCA et arbitrage entre
coût du PCA et coût de l’interruption d’activité.
@»cdh]aia�hY`�eiY�X�Wf]h�XUbg�`U�Ã�W\Y�df�W�!dente permet, après validation par la direction, XY�Ã�lYf�dcif�W\UeiY�UWh]j]h��YggYbh]Y``Y�Yh�dcif�W\UeiY�dfcWYggig#Ä�il�Wf]h]eiY�`Yg�cV^YWh]Zg�de continuité et les actions à entreprendre en cas de sinistre pour assurer le maintien de ces objectifs.
Des objectifs sont également fixés pour le fonctionnement en mode dégradé s’il n’est pas possible de maintenir la continuité normale et quand la reprise d’activité se fait par étapes.
recommandations : @Yg�cV^YWh]Zg�XY�Wcbh]bi]h��Xc]jYbh��hfY�Wc\�!
rents avec la stratégie de l’organisation.
Ils doivent tenir compte de la capacité à dis-
poser des ressources nécessaires.
Ils doivent être mesurables et surveillés.
Pour leur élaboration il est recommandé
de valoriser les pertes engendrées par les
incidents craints.
Il est recommandé de mener une analyse
cddcgUbh�`Y�Wc�h�XYg�aYgifYg�Xi�D75�Uil�Wc�hg�XYg�f]geiYg�]XYbh]Z]�g"
élaboration de la stratégie :À partir des prérequis rappelés précédem-
ment, la stratégie de continuité d’activité
dYih��hfY�X�W`]b�Y"�9``Y�jU�dYfaYhhfY�XY�Zcf!aU`]gYf�`Yg�a�WUb]gaYg�XY�ZcbWh]cbbYaYbh�en modes dégradés et de reprise technique,
X»]XYbh]Z]Yf�Ui�df�U`UV`Y�`Yg�df]cf]h�g �XY�X�Z]b]f�`Y�b]jYUi�XY�gYfj]WY�{�fYghUifYf�Yh�les délais associés. Les mesures à mettre en
œuvre et les procédures associées doivent
rester simples. La stratégie de continuité
jU��[U`YaYbh�dYfaYhhfY�̀ »]XYbh]Z]WUh]cb�df�!alable de l’ordre de priorité de reprise et
XY�VUgWi`YaYbh�dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil��g]hY�]bZcfaUh]eiY �V|h]aYbh �YhW"�"�=`�Ygh�]adcfhUbh�XY�ZU]fY�WY�W`UggYaYbh�dUf�priorité avant la survenue du sinistre,
UZ]b�XY�df�jc]f �`Y�acaYbh�jYbi �`»]XYbh]!Z]WUh]cb�fUd]XY�XYg�fYggcifWYg�ei]�gYfcbh�nécessaires.
@»YlYad`Y�]``ighf��XUbg�`U�Z]W\Y�%)�WcbWYfbY�`U�fYdf]gY�X»UWh]j]h��Udf�g�ib�g]b]ghfY �UjYW�une reprise en mode dégradé, par une solu-
h]cb�XY�WcbhcifbYaYbh�di]g�ib�ZcbWh]cbbY!aYbh�Yb�acXY�gYWcifg �UjYW�XYil�dU`]Yfg�giWWYgg]Zg �UjUbh�fYhcif�{�`U�bcfaU`Y"�
objectif
@U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h��dYfaYh�XY�ZcfaU`]gYf�`Yg�a�WUb]gaYg�XY�ZcbWh]cbbYaYbh�Yb�acXYg�X�[fUX�g�Yh�XY�fYdf]gY�hYW\b]eiY �X»]XYbh]Ã�Yf�Ui�df�U`UV`Y�`Yg�df]cf]h�g �XY�X�Ã�b]f�`Y�b]jYUi�XY�gYfj]WY�{�fYghUifYf�Yh�`Yg�X�`U]g�UggcW]�g"�9``Y�dYfaYh��[U`YaYbh�`»]XYbh]Ã�WUh]cb�df�U`UV`Y�XY�`»cfXfY�XY�df]cf]h��XY�fYdf]gY�Yh�XY�VUgWi`YaYbh�dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil"
:=7<9�20
déFinir la stratégiede continuité d’activité
53Guide pour réaliser un plan de continuité d’activité
54Guide pour réaliser un plan de continuité d’activité
les fiches pratiques 8�Ã�b]f�`U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�
Un cahier des charges doit être transmis à
chaque responsable de ressource critique pour
X�Ã�b]f�WY�ei]�Ygh�UhhYbXi��X]gdcb]V]`]h��XY�WYf!tains composants, délais de mise en œuvre,
df]gY�Yb�WcadhY�XYg�UgdYWhg�^if]X]eiYg �YhW"�"�Ces responsables devront transmettre en retour
leurs réponses concernant les modalités de mise
Yb�µijfY��X�`U]g �VYgc]bg�Ã�bUbW]Yfg �YhW"��ei]�seront ensuite consolidés pour validation par
`U�X]fYWh]cb"�=`�ZUiXfU��[U`YaYbh�]XYbh]Ã�Yf�WY�qui est attendu des responsables de métiers et de processus qui devront :
Décliner les actions, outils et procédures du PCA.
Intégrer des procédures du PCA dans leurs
propres processus.
Élaborer la documentation pour chaque procé-
dure (conditions de déclenchement, ressources
b�WYggU]fYg �YZZYhg�UhhYbXig �YhW"�" F�U`]gYf�XYg��W\Yg�f��YlYg�dcif�`U�dfYa]�fY�
heure.
5ggifYf�`»UWW�g�{�`U�XcWiaYbhUh]cb"
mise en œuvre des procédures du pca : Formaliser autant que possible un nombre
réduit de procédures.
@Yg�Ã�W\Yg��UWh]cbg�®�Xc]jYbh��hfY�g]ad`Yg�Yh�gd�W]Ã�eiYg�{�W\UeiY�a�h]Yf" 8]gdcgYf�XY���Ã�W\Yg�f�Ä�YlY�®�dUf��a�h]Yf�®"
@Yg�X]gdcg]h]Zg�Xi�D75�gcbh�Wcbgh]hi�g�XY�dfcW�!XifYg�Yh�XY�acmYbg�gd�W]�eiYg"�@Y�d`ig�[fUbX�f]geiY�Ygh�eiY�WYg�X]gdcg]h]Zg�gc]Ybh�aU`�Wcbbig�par les personnes en charge de leur mise en
µijfY"�@Yg�acXU`]h�g�XY�ZcfaUh]cb �XY�j�f]Ã�WU!tion et de maintien en condition opérationnelle
du PCA sont essentielles �Y``Yg�Zcbh�`»cV^Yh�XYg�Ã�W\Yg�&)�Yh�&*�"
comment disposer des moyens nécessaires à la mise en œuvre du pca ?=`�ZUih�aYhhfY�Yb�µijfY�`Yg�aYgifYg�b�WYg!gU]fYg�{�`U�hYbiY�XY�`»cV^YWh]Z�XY�dYfhY�XY�
fYggcifWYg�aUl]aU`Y�UXa]gg]V`Y��DFA5��ci�dYfhY�XY�Xcbb�Yg�aUl]aU`Y�UXa]gg]V`Y�(PDMA) et rendre possible l’activation du
D75"�@U�`]ghY�hf�g�dUfh]Y``Y�ei]�gi]h�Ygh�{�WY�titre indicative :
A]gY�Yb�d`UWY�XYg�X]gdcg]h]Zg�Yh�dfcW�XifYg�ei]�XYjfcbh�Ujc]f��h��df�U`UV`YaYbh�X�Ã�b]g �ZcfaU`]g�g�Yh�]bh�[f�g�XUbg�`Yg�dfcWYggig�métier pour être activités au déclenchement
du plan.
AYgifYg�gd�W]Ã�eiYg�dcif�`Yg�fYggcifWYg�\iaU]bYg��Yl�.�`»cf[Ub]gUh]cb�Xi�gmgh�aY�d’astreintes).
AYgifYg�gd�W]Ã�eiYg�Uil�]bZfUghfiWhifYg��Yl�.�`U�df�dUfUh]cb�XYg�g]hYg�XY�fYd`]g�" AYgifYg�gd�W]Ã�eiYg�Uil�gmgh�aYg�X»]b!
ZcfaUh]cb��Yl�.�`U�f�j]g]cb�XY�`»UfW\]hYWhifY�XYg�gmgh�aYg�X»]bZcfaUh]cb�dcif�ZUW]`]hYf�̀ U�synchronisation des données, la création de
points stables pour les applications interdé-
pendantes, le découpage en plaques secou-
fUV`Yg�\cac[�bYg�Yh�V�b�Ã�W]Ubh�XY�dc]bhg�XY�gmbW\fcb]gUh]cb�Wcaaibg�/�ci�YbWcfY�̀ U�a]gY�en place de procédures de sauvegarde des
Xcbb�Yg �UjYW�`U�Zf�eiYbWY�WcffYgdcbXUbh�Uil�cV^YWh]Zg��dYfhYg�XY�Xcbb�Yg�aUl]aia�admissible : PDMA, avant la survenue du
sinistre).
Moyens de communication spécialisés pour
ZU]fY�ZUWY�{�`»UVgYbWY�XYg�acmYbg�diV`]Wg �qui pourront être utilisés en mode dégradé.
Ces moyens devront être connus et utilisés
Yb�d�f]cXY�bcfaU`Y�dcif��hfY�ZUW]`YaYbh�a]g�en œuvre en cas de déclenchement dans le
cadre du PCA.
AYgifYg�gd�W]Ã�eiYg�{�`U�g�Wif]h���Wcbc!a]eiY �UjYW�bchUaaYbh�`Yg�X]gdcg]h]Zg�XY�récupération des données les plus sensibles.
AYgifYg�gd�W]�eiYg�Yb�WUg�XY�X�ZU]``UbWY�de partenaire.
HYghg�XY�ZcbWh]cbbYaYbh�XY�WYg�X]gdcg]h]Zg�UjYW�`U�Zf�eiYbWY�X��b]Y"
objectif
IbY�Zc]g�`Y�D75�jU`]X� �`»�ei]dY�dfc^Yh�Xc]h�fYghYf�]ad`]ei�Y�dcif�d]`chYf�`U�a]gY�en œuvre des moyens et procédures qui seront nécessaires en cas d’activation des
X]gdcg]h]Zg�Xi�d`Ub"�
:=7<9�21
la mise en Œuvre des MoYens nécessaires au pca
Guide pour réaliser un plan de continuité d’activité 55
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Processus de gestion de crise et PCA
page 1/3
la fonction de la cellule de crise, qui est
décrite dans le corps du guide, est de contri-
ViYf�{�aU�hf]gYf�̀ »]bWYfh]hiXY�XifUbh�̀ U�Wf]gY"�9b�YZZYh �̀ »]bWYfh]hiXY�ei]�YbhcifY�̀ Yg��j�bYaYbhg�redoutés impose de développer une stratégie
de réponse qui s’appuie sur l’anticipation de
scénarios plausibles, permettant d’aboutir à
XYg�W\c]l�fUh]cbbY`g ��j]hUbh�U]bg]�XY�f�U[]f�XY�aUb]�fY�UZZYWh]jY�{�WY�eiY�`»cb�X�WcijfY"�La gestion de crise est intimement liée au PCA.
=`�Ygh�Yb�YZZYh�fUfY�ei»]`�m�U]h�ibY�X�W]g]cb�X»UW!h]jYf�XYg�X]gdcg]h]Zg�df�jig�dUf�`Y�D75�gUbg�qu’il y ait eu décision d’activer la cellule de
crise. A contrario il peut y avoir une cellule
de crise pour beaucoup d’autres incidents qui
bY�^igh]Ã�Ybh�dUg�XY�aYhhfY�Yb�µijfY�`Y�D75"�7»Ygh�`U�fU]gcb�dcif�`UeiY``Y�`Y�X]gdcg]h]Z�XY�gestion de crise est souvent décrit dans un
d`Ub�gd�W]Ã�eiY �Yb�XY\cfg�Xi�D75�ei]�m�ZU]h�gYi`YaYbh�f�Z�fYbWY"�IbY�UihfY�cdh]cb�Ygh�eiY�`Y�dfcWYggig�XY�[Ygh]cb�XY�Wf]gY�Ã�[ifY�XUbg�̀ Y�hfcbW�Wcaaib�`cfgei»Yl]ghYbh�d`ig]Yifg�D75"�8»ib�dc]bh�XY�jiY�cf[Ub]gUh]cbbY` �]`�Ygh�Zf�!quent que le responsable du PCA (RPCA) se
trouve être également le responsable de la
gestion de crise.
procédures génériques de gestion de crise gd�W]Ã�eiYg�Ui�D75@Yg�XYgWf]dh]Zg�gi]jUbhg�gcbh�XYg�YlYad`Yg�[�b�f]eiYg�XY�dfcW�XifYg�Yh�Ã�W\Yg�WcbWYfbUbh�le PCA :
Procédure de remontée de l’alerte jusqu’à l’activation et suivi du PCA :- UggifYf�ib�gi]j]�XYg�g][bUil�df�WifgYifg �- ]XYbh]Ã�Yf�XYg�]bW]XYbhg�aU^Yifg�aYbU�Ubh�̀ Y�
Vcb�ZcbWh]cbbYaYbh�X»UWh]j]h�g�YggYbh]Y``Yg
- ZU]fY�fYacbhYf�`»]bZcfaUh]cb�Xi�WcffYgdcb!dant local vers le responsable du PCA, en
appliquant la procédure d’escalade,
- UggifYf�`Y�X]U[bcgh]W�Yh�`U�eiU`]Ã�WUh]cb�XY�l’événement,
- ]XYbh]Ã�Yf�`Yg�g][bYg�UbbcbW]UhYifg�X»]bhYf!ruption d’activité pouvant donner lieu à
l’activation du PCA,
- alerter le responsable de la gestion de crise ou
le directeur de l’organisation,
- décider d’activer la cellule de crise,
- décider d’activer certaines parties du PCA,
- jU`]XUh]cb�XY�X]gdcg]h]Zg�XY�Wcbh]bi]h��{�mettre en œuvre,
- schéma délégataire, permettant la poursuite
d’activité et les délégations de signature,
- aYgifYg�gd�W]�eiYg�{�X�W`YbW\Yf�dcif�ib�ZcbWh]cbbYaYbh�Yb�acXY�X�[fUX�
- assurer un pilotage par la cellule de crise
opérationnelle,
- Suivi des indicateurs de continuité d’activité.
:]W\Yg�gd�W]Ã�eiYg�. - remontée d’alerte,
- eiU`]Z]WUh]cb�.� `]Yi#bUhifY#\YifY#Wcbg�!quences/actions prises,
- mobilisation de la cellule de crise : lieu,
Wcb�[ifUh]cb �WcbjcWUh]cbg - gi]j]��dUf�UWh]j]h�#gcig!UWh]j]h��/��hUh�XY�ZcbW!
tionnement et de reprise,
- fYhcif�X»Yld�f]YbWY �Ã�W\Y�ei]�Xc]h��hfY�fYa!d`]Y�X�g�`Y�X�Vih�XY�`U�Wf]gY �Udf�g�Ujc]f�nommé un responsable pour ce suivi (voir
Yb�UbbYlY�(�`Y�acX�`Y�XY��W\Y�F9H9L� - suivi de la bonne prise en compte des recom-
aUbXUh]cbg�]ggiYg�Xi�F9H9L - X�W`UfUh]cbg�Uil�UggifUbWYg - Df]gY�Yb�WcadhY�XYg�UgdYWhg�^if]X]eiYg"���
objectif
Si un sinistre devait survenir malgré les mesures de prévention, compte tenu de
gU�[fUj]h��Yh�Xi�WcbhYlhY�X»]bWYfh]hiXY�gif�`»�jc`ih]cb�XY�`U�Wf]gY �`Yg�aYgifYg�XY�dfchYWh]cb �X»]bhYfjYbh]cb�Yh�XY�`]a]hUh]cb�XYg�YZZYhg�XYjfU]Ybh��hfY�d]`ch�Yg�dUf�ibY�cellule de gestion de crise.
:=7<9�22
processus de gestionde crise et pca
page suivante
56Guide pour réaliser un plan de continuité d’activité
l’annuaire de criseIl s’agit naturellement d’un outil essentiel pour
permettre d’alerter rapidement les personnes
qui ont besoin de connaître la situation dans
`Yg�X�`U]g�ih]`Yg�WcadhY�hYbi�XY�̀ Yifg�f�`Yg�XUbg�`Y�X]gdcg]h]Z�XY�Wf]gY"
les moyens de communicationDes moyens de communication doivent être
df�jig�dcif�̀ »U`YfhY �̀ U�fYacbh�Y�X»]bZcfaUh]cb �la communication des décisions et consignes,
le dialogue avec les services de l’État et les
autres organisations concernées par la gestion
de la crise. Des moyens « en mode dégradé »
doivent être prévus en cas d’indisponibilité
des moyens habituels.
la cellule de crise@U�WY``i`Y�XY�Wf]gY ��W\YZ�X»cfW\YghfY�®�XY�`»Yb!semble, est indispensable pour répondre à
XYg�g]hiUh]cbg�bcb�aU�hf]g�Yg"�9``Y�WcadfYbX�bchUaaYbh�̀ Yg�ZcbWh]cbg�gi]jUbhYg��ei]�dYijYbh�être regroupées ou éclatées, en veillant dans
ce dernier cas à une étroite coordination entre
les cellules) :
Fonctions à assurer dans la cellule de crise :- suivi et analyse de la situation,
- anticipation,
- cellules techniques (ou processus) capables
d’analyser les conséquences sur les métiers
et activités,
- cellule d’aide à la décision (capable de simuler
X]ZZ�fYbhYg�f�dcbgYg�dcgg]V`Yg �{�X]ZZ�fYbhg�paliers de la crise, et de proposer la meilleure
gc`ih]cb �XUbg�ib�WcbhYlhY�X»]bWYfh]hiXY� - cellule de décision,
- cellule de coordination et suivi des actions,
- cellule de relation avec les parties prenantes
(dont l’État et les partenaires),
- cellule de communication avec les média (voir
�W\Y�&(�"
Les participants à la cellule de crise compren-
bYbh�{�h]hfY�]bX]WUh]Z�Yh�gUbg�df�^iX]WY�X»cijYfhifY�{�X»UihfYg�YldYfh]gYg�.- l’autorité désignée par la direction de
l’organisation,
- le responsable de la gestion de crise (s’il
n’est pas l’autorité désignée),
- le responsable du PCA, le directeur des
risques,
- les responsables des métiers et des proces-
sus touchés par la crise,
- ̀Yg�fYgdcbgUV`Yg�XYg�fYggcifWYg�UZZYWh�Yg�par la crise,
- Les responsables de moyens nécessaires
pour la gestion de crise.
on ne peut qu’insister sur l’importance de la (ou des) cellule(s) d’analyse de l’information et d’anticipation pour donner du sens à l’in-formation et donc au processus de décision.
la cellule de relation avec les parties pre-nantes (dont l’État et les partenaires) est
également essentielle pour développer une
X�aUfW\Y�hfUbgjYfgY �XUbg�ib�WcbhYlhY�c��les grandes crises ont des répercussions en
WUgWUXY �dUf�`Y�gYi`�YZZYh�XYg�]bhYfX�dYb!XUbWYg"�7Y`U�dYfaYh�XY�a]Yil�WcadfYbXfY�̀ U�situation, de partager la compréhension de la
g]hiUh]cb �XY�a]Yil�UbU`mgYf�`Yg�]adUWhg�gif�`»Ybj]fcbbYaYbh��Wcbca]eiY �XY�ZUW]`]hYf�`U�recherche de solutions. La réponse collective
Yl]ghY�X�^{�XUbg�WYfhU]bg�gYWhYifg�X»UWh]j]h���dUf�YlYad`Y�dUf�`U�aihiU`]gUh]cb�XY�`U�[Yg!tion de crise dans la grande distribution).
7YhhY�X�aUfW\Y ��hYbXiY�Uil�dUfhYbU]fYg�internes de l’organisation, permet également
de donner du sens à l’action, chacun se sen-
hUbh�acV]`]g��XUbg�`U�a�aY�Ã�bU`]h�"�le lien avec les services de l’état n’est pas repris ici WUf�]`�ZU]h�`»cV^Yh�XY�`U�Ã�W\Y�%,"
le lien entre la gestion opérationnelle et la gestion stratégique de la crise doit être bien Wcadf]g�Yh�fYbZcfW� �XY�ZU�cb�{�Ä�i]X]Ã�Yf�`Yg�circuits d’information.
Processus de gestion de crise et PCA :=7<9�22page 2/3
les fiches pratiques
page suivante
57Guide pour réaliser un plan de continuité d’activité
les fiches pratiques Processus de gestion de crise et PCA
page 3/3
:=7<9�22
les aspects humains sont essentiels dans
la gestion de la crise, de part les pressions
considérables qui résultent de la nécessité de
réagir rapidement à l’événement, du manque
Zf�eiYbh�X»]bZcfaUh]cbg�Ã�UV`Yg�Yh�XY�̀ U�X]ZÃ�!culté à anticiper.
la compréhension des situations psycholo-giques des participants durant des périodes de stress doit permettre d’éviter des com-portements pouvant conduire à de mauvaises décisions.
exemples de comportements à risques en situation de crise21 : Au début de la crise :
- minimisation de la gravité de certains
événements,
- absence de prise de conscience de la situa-
tion dégradée,
- sentiment de pouvoir maîtriser la situation
UjYW�`Yg�acmYbg�`cWUil" Durant la crise :
- Wcb�UbWY�UjYi[`Y��YbjYfg�ibY�dYfgcbbY�ci�un plan),
- crainte de s’écarter du consensus, d’évoquer
XYg�dcg]h]cbg�X]ZZ�fYbhYg - UVgYbWY�XY�Wcaaib]WUh]cb�UjYW�̀ »Ylh�f]Yif �
les médias,
- absence de communication en interne, de
calage des cellules,
- incapacité à déléguer.
Au cœur de la crise, avec un fort stress :- gif�f�UWh]cb�ZUWY�{�`U�X�WcijYfhY�XY�`»]bU!
déquation des moyens,
- état de choc, sidération, inhibition,
- ci�f�UWh]cb�Yb�g]hiUh]cb�XY�dUb]eiY �Zi]hY�Yb�UjUbh �gifYbW\�fY
- UVgYbWY�X»�WcihY �XY�ZcbWh]cbbYaYbh�Yb�réseau,
- fYZig�XY�gY�fYaYhhfY�Yb�WUigY �XY�fYjc]f�`U�stratégie, obstination rigide,
- ci �Ui�WcbhfU]fY �W\Ub[YaYbhg�hfcd�Zf�!quents, agitation stérile,
- ZUh][iY� Yh� UWh]cbg� UihcaUh]eiYg � gUbg�f��Yl]cb �YhW"
pour éviter ces écueils il est nécessaire de professionnaliser les participants de la cellule XY�Wf]gY �Ui�acmYb�XY�ZcfaUh]cbg�gd�W]Ã�eiYg�et d’exercices.
21 / les exemples de pCa qui n’ont pas été mis en œuvre correctement dans une situation de stress pourtant prévue dans le pCa sont
bcaVfYil"�(-��XYg�gcW]�h�g�UZZYWh�Yg�dUf�`Yg��j�bYaYbhg�Xi�%%�gYdhYaVfY�&$$%�{�BYk!Mcf_�cbh�X�W`YbW\��`Yif�D75"�7YdYbXUbh �XUbg�XY�bcaVfYil�WUg �`Yg�VcbbYg�X�W]g]cbg �b»cbh�dUg��h��df]gYg�dUf�`U�X]fYWh]cb�XY�WYg�gcW]�h�g"��kkk";`cVU`Wcbh]bi]hm"Wca�"
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Guide pour réaliser un plan de continuité d’activité 58
les fiches pratiques Quand et comment déclencher le PCA ?
page 1/3
1. déclenchement en phase d’alerte= �̀Ygh�gci\U]hUV`Y�XY�dcijc]f�X�hYWhYf�XYg�g][bUil�précurseurs ou annonciateurs d’un sinistre
�WUhUghfcd\Y�bUhifY``Y �UWW]XYbh�aU^Yif �aYbUWY�terroriste, atteinte grave à l’image, etc.). Pour
WY�ZU]fY�̀ »cf[Ub]gUh]cb�Xc]h�]X�U`YaYbh�X]gdcgYf�d’un service ou avoir recours à des prestations de
jY]``Y �UÃ�b�X»�hfY�WUdUV`Y�X»UbU`mgYf�̀ U�g]hiUh]cb �de pouvoir anticiper l’évolution des événements
et déclencher à temps les procédures d’alerte
interne.
G]�`Yg�]bX]WUhYifg�Yh�`»UbU`mgY�WcbÃ�faYbh�`»]a!a]bYbWY�X»ib�g]b]ghfY �̀ Yg�dfYa]�fYg�UWh]cbg��Yb�dUfh]Y�Yb�acXY�f�Ä�YlY��WcbWYfbYbh�̀ Yg�aYgifYg�de prévention/ protection/ intervention (qui ne
sont pas traitées dans ce document).
@U�XYil]�aY��hUdY�Wcbg]ghY�{�aYhhfY�̀ »cf[Ub]gU!h]cb�Yb�aYgifY�XY�ZU]fY�ZUWY�Uil�WUhUghfcd\Yg�dcg!sibles en activant ses mécanismes de résilience.
7\UeiY�cf[Ub]gUh]cb�dchYbh]Y``YaYbh�UZZYWh�Y�(directement ou indirectement) doit donc étudier
l’opportunité de déclencher le PCA en phase
d’alerte dcif�ib�d�f]a�hfY�ei]�XYjfU��hfY�X�Ã�b]�et pour une durée qui devra être précisée : Mobiliser les responsables du plan de continuité
et de sa mise en œuvre.
J�f]Ã�Yf�`Y�Vcb�ZcbWh]cbbYaYbh�XYg�X]gdcg]h]Zg�prévus en cas de déclenchement du plan de
continuité.
J�f]Ã�Yf�̀ U�X]gdcb]V]`]h��XYg�acmYbg�XY�Wcaai!nication interne et des annuaires.
5Wh]jYf�`Y�X]gdcg]h]Z�X»UghfY]bhYg" Assurer le travail de suivi, d’analyse et d’anti-
cipation, avec montée en puissance de la cellule
d’analyse.
9ZZYWhiYf�`»YbfY[]ghfYaYbh�XYg�]bZcfaUh]cbg�critiques concernant l’incident, les actions entre-
df]gYg�Yh�`Yg�dfYa]�fYg�X�W]g]cbg�df]gYg" informer si nécessaire les services d’urgence
et/ou les services de l’état.
=XYbh]Z]Yf� `Yg�acaYbhg� W`�g�XY�df]gY�XY�décision pour :
- déclencher la mise en place de la solution
palliative,
- déclencher la mise en place de la solution de
secours,
- ]XYbh]�Yf�`Yg�dc]bhg�XY�bcb�fYhcif"
2. déclenchement en phase d’activationLa décision de déclencher le PCA en phase d’ac-
h]jUh]cb�dYih��hfY�df]gY�gi]hY�Uil�Wcbg][bYg�XY�l’État lors d’une catastrophe naturelle touchant
ibY�ncbY�Xcbb�Y �ci�{�`»]b]h]Uh]jY�de chaque organisation, en liaison avec son environnement
X]fYWh��Yb^Yil�ghfUh�[]eiYg �WcbhfUhg�Yl]ghUbhg �activités mutualisées touchées, etc.).
Cette phase d’activation est constituée d’une
succession de décisions prises par paliers, en
ZcbWh]cb�XY�`»�jc`ih]cb�XY�`U�g]hiUh]cb�Yh�XYg�a�WUb]gaYg�df�U`UV`YaYbh�X�Ã�b]g"�8Yg�X]g!dcg]h]Zg�dYijYbh��hfY�UWh]j�g�giWWYgg]jYaYbh �par « crans » :
Décision d’activer la cellule de crise
décisionnelle.
Décision d’activer telle solution palliative et/
ou de secours.
AcXU`]h�g�gd�W]Ã�eiYg�Yb�WUg�XY�VUgWi`YaYbh��{�Zfc]X�®�ci��{�W\UiX�®" Activation de la cellule de crise opérationnelle
pour gérer la mise en œuvre des solutions pal-
liative et/ou de secours, etc.
Il est indispensable que chaque correspondant
du PCA et que chacune des parties prenantes de
gU�a]gY�Yb�µijfY�WcbbU]ggY�YlUWhYaYbh�eiY`�Ygh�gcb�f�`Y�Yh�̀ »UWh]cb�UhhYbXiY �Yb�ZcbWh]cb�XYg�Wcbg][bYg�Ã�[ifUbh�XUbg�̀ Y�d`Ub"�@Y�gW\�aU�dU[Y�suivante donne une idée des acteurs concernés,
`Y�fYgdcbgUV`Y�]bZcfaUh]eiY��hUbh�aYbh]cbb��]W]�{�h]hfY�X»YlYad`Y�XY�fYgdcbgUV`Y�XY�fYggcifWYg�critiques.
objectif
7cbbU�hfY�`Y�Vcb�acaYbh�Yh�`U�aUb]�fY�XY�X�W`YbW\Yf�ib�D75"
:=7<9�23
quand et comment déclencHer le pca ?
page suivante
59Guide pour réaliser un plan de continuité d’activité
articulation des parties prenantes dans le déroulement du pca
Sinistre
Fonctionnementavec solution
palliative
Axe du temps
Fonctionnementnormal
UTILISATEURS
CELLULE DE CRISE
RESPONSABLEINFORMATIQUE
Fonctionnementen mode
secours #1
Fonctionnementen mode
secours #2Fonctionnement
normal
Protection / sauvegardes
Évaluation, anticipation, mobilisation, décisions
Décision d’activer le mode secours
Alerte / sauvegardes
Mécanisme de récupération
Fonctionnement avec des solutions dégradées
Décision d’activer le retour à la normale
Préparation du plan de reprise
Mise en œuvre du plan informatique de secours
Mise en œuvre du plan de restauration et de synchronisation
Quand et comment déclencher le PCA ? :=7<9�23page 2/3
les fiches pratiques
page suivante
Ce tableau présente la chronologie de reprise
dfc[fYgg]jY�^igei»{�`U�fYdf]gY�Wcad`�hY�XY�l’activité.
la décision d’activer la cellule de crise est une étape importante. il vaut mieux la déclencher trop tôt que trop tard.
Décision de mettre en place une cellule de crise : =`� Ygh� fYWcaaUbX��eiY� `»�ei]dY�dfc^Yh�
D75�aYhhY�Yb�d`UWY�Yh�aU]bh]YbbY�{�^cif�ib�annuaire de crise, accessible sous plusieurs
ZcfaYg�Yh�`Uf[YaYbh�X]ZZig�" Il est recommandé que le PCA décrive les
moyens de communication, les sources d’in-
ZcfaUh]cbg�Yh�̀ Yg�VYgc]bg�Yb�̀ cWUil�Yh�dcghYg�de travail nécessaires pour permettre à la
WY``i`Y�XY�Wf]gY�XY�ZcbWh]cbbYf" Il est recommandé que le PCA comporte une
phase d’escalade qui permette d’adapter les
aYgifYg�X�W`YbW\�Yg�{�`U�[fUj]h��]XYbh]Ã��Y�XY�`»]bW]XYbh"�±�WYhhY�Ã�b �`Y�D75�Xc]h�X�hYf!
miner, au préalable, les indicateurs et leurs
valeurs seuils qui caractériseront la gravité
de l’incident.
Il est nécessaire que la cellule de crise com-
dcfhY�ib�dYfgcbbY`�W\Uf[��XY�hYb]f�{�̂ cif�ibY�main courante des actions décidées.
3. reprise d’activité en mode secoursLa reprise d’activité en mode secours impose
de prendre la décision de basculer sur d’autres
ressources, ce qui veut dire qu’il peut ne plus
être possible de revenir à la situation anté-
f]YifY"�7Y�W\c]l�Xc]h��hfY�ZU]h�Yb�WcbbU]ggUbWY�de cause, sur la base de l’estimation de la durée
de l’interruption de l’activité et du délai requis
pour mettre en œuvre le mode secours.
Le PCA doit prévoir les priorités de rétablisse-
ment, car il n’est généralement pas possible de
reprendre tous les processus arrêtés en mode
gYWcifg �U]bg]�eiY�`Yg�b]jYUil�XY�gYfj]WY�{�assurer. Il en est de même pour les ressources
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
60Guide pour réaliser un plan de continuité d’activité
les fiches pratiques Quand et comment déclencher le PCA ?
page 3/3
{�df�gYfjYf�Yh�dfch�[Yf�X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY �pour permettre la reprise d’activité en mode
secours.
Il est recommandé que le responsable de la
reprise d’activité et ses correspondants soient
acV]`]g�g�X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY�dcif�Uddf�!cier les modalités de mise en œuvre du ou des
mode(s) secours.
Le mode secours n’a généralement pas vocation
à s’éterniser. Il est donc nécessaire de prendre
Yb�WcadhY�`U�Xif�Y�aUl]aU`Y�UXa]gg]V`Y�Xi�mode secours pour anticiper les décisions
appropriées.
4. plan de retour en fonctionnement normal@Y�fYhcif�Yb�ZcbWh]cbbYaYbh�bcfaU`�Xc]h�gY�df�!dUfYf�X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY�gcig�̀ U�WcbXi]hY�du responsable du PCA.
7YfhU]bYg�ZcbWh]cbg�Uifcbh��h��df�U`UV`YaYbh�X�Ã�b]Yg�Yh�f�X][�Yg�XUbg�`Y�D75�. =XYbh]Ã�WUh]cb�df�U`UV`Y�XY�̀ »cfXfY�XY�fYdf]gY" ;Ygh]cb�Xi�X]gdcg]h]Z�X»]bhYfjYbh]cb�Yh�XY�fYg!
hUifUh]cb�Yb�ZcbWh]cb�XYg�df]cf]h�g�XY�fYdf]gY"
8]gdcg]h]Z�XY�VUgWi`YaYbh�dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil��g]hY�]bZcfaUh]eiY �V|h]!ment, etc.).
8if�Y�aUl]aU`Y�XY�ZcbWh]cbbYaYbh�gif�`Y�gmgh�aY�XY�fYd`]"
Il est recommandé de prévoir la possibilité
X»ib�ZcbWh]cbbYaYbh�d�fYbbY�gif�`Y�g]hY�XY�repli, sans qu’il y ait de retour au mode normal
antérieur.
=`�Ygh�fYWcaaUbX� �X�g�̀ Y�X�Vih�XY�̀ U�Wf]gY �XY�j�f]Ã�Yf�eiY�̀ Yg�fYggcifWYg�b�WYggU]fYg�dcif�̀ U�fYdf]gY�Yb�ZcbWh]cbbYaYbh�bcfaU`�gcbh�df�jiYg�et sont progressivement réunies.
1RWH��� /D�SKDVH�GH� UHWRXU�HQ�PRGH�QRUPDO�Q«FHVVLWH�VRXYHQW�XQH�IRUWH�FRRUGLQDWLRQ�HQWUH�GHV�RUJDQLVDWLRQV�GLì�«UHQWHV�SRXU�SHUPHWWUH�OD�UHSULVH�OD�SOXV�UDSLGH�SRVVLEOH�GH�OØDFWLYLW«�«FRQRPLTXH�
:=7<9�23
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Le plan de communication de crise
les différents moments de la communica-tion interne sont : Avant et durant l’élaboration du plan, avec
les objectifs suivants :- sensibiliser les parties prenantes,
- montrer l’implication de la direction,
- Yld`]eiYf�̀ U�a�h\cXY�Yh�̀ Y�f�`Y�UhhYbXi�XYg�parties prenantes.
Une fois le plan validé, il s’agit alors d(e) :- Yld`]eiYf�`U�ghfUh�[]Y�XY�Wcbh]bi]h� - s’assurer que les ressources nécessaires
gcbh�X]gdcb]V`Yg�Yh�eiY�̀ Yg�Yl][YbWYg�gYfcbh�intégrées dans les processus métier,
- aider les responsables à s’investir dans la
mise en œuvre du PCA,
- Yld`]eiYf�`Yg�acXU`]h�g�XY�j�f]Ã�WUh]cb�Yh�promouvoir une démarche d’amélioration
continue du PCA.
Lors du déclenchement du plan, la commu-nication vise à :- mobiliser les parties prenantes,
- rappeler les actions à préparer puis à mettre
en œuvre,
- transmettre les décisions et consignes,
- UZ�W\Yf�`Yg�f�gi`hUhg�cVhYbig"
les différents destinataires de la commu-nication en temps de crise sont : D’abord le personnel (responsables des
métiers et des processus, responsables des
activités, tout le personnel, les sous-traitants
présents).
Di]g�`Yg�Zcifb]ggYifg�Yh�W`]Ybhg�XY�`»cf[U!nisation, qui ont besoin de connaître des
X]gdcg]h]Zg�Xi�D75�Yh�XY�gU�a]gY�Yb�µijfY" Les autres partenaires concernés par la mise
en œuvre du PCA.
Les services de l’État et des collectivités
territoriales.
Le grand public.
recommandations Il est recommandé que le PCA désigne le res-
dcbgUV`Y�W\Uf[��XY�X]ZZigYf�̀ Yg�]bZcfaUh]cbg�pendant la crise, ainsi que les éléments de
`Ub[U[Y�hmdYg �UXUdh�g�Uil�X]ZZ�fYbhg�gW�!narios craints.
Ce responsable doit être connu de tous les
interlocuteurs potentiels de l’organisation.
Gcb�Uihcf]h��Xc]h��hfY�UggYn��`Yj�Y�Ui�gY]b�de la hiérarchie de l’organisation pour que
gYg�X]gWcifg�gc]Ybh�Wf�X]V`Yg�Yh�bY�d|h]ggYbh�dUg�XYg�X�`U]g�]b\�fYbhg�Uil�dfcWYggig�XY�validation hiérarchique.
objectif
Compte tenu du besoin d’impliquer de nombreuses personnes, d’assurer la
cohérence d’ensemble, l’usage d’une méthodologie commune et la bonne mise en
µijfY�XYg�aYgifYg�fYhYbiYg �`U�Wcaaib]WUh]cb�Ygh�YggYbh]Y``Y�Ui�giWW�g�Xi�D75"
:=7<9�24
pca et communication de crise
61Guide pour réaliser un plan de continuité d’activité
les fiches pratiques =bX]WUhYifg�X»YZÃ�W]YbWY�Xi�D75
des indicateurs, permettant de mesurer l’avancement du projet, doivent être suivis par l’équipe projet. Ils concernent les aspects
hYW\b]eiYg��UfW\]hYWhifY�Xi�gmgh�aY�X»]bZcf!aUh]cb �f�gYUil�XY�Wcaaib]WUh]cb�g�Wif]g�g� �`Yg�]bZfUghfiWhifYg��a]gY�Yb�d`UWY�X»ib�g]hY�de repli), les ressources humaines (révision
éventuelle de la convention collective, éta-
blissement de la liste des postes critiques),
`Yg�fY`Uh]cbg�UjYW�̀ Yg�Zcifb]ggYifg��ZcfaU`]gU!h]cb�XYg�Yl][YbWYg �Wcbhf�`Yg�"�Ib�V]`Ub�{�XUhY�df�X�Ã�b]Y�dYfaYhhfU�XY�Wcff][Yf�XYg��WUfhg�éventuels.
il faut par la suite disposer d’indicateurs de performance des procédures de mise en œuvre du pca�Yh�XYg�aYgifYg�X�Ã�b]Yg�XUbg�̀ Yg�X]ZZ�fYbhg�d`Ubg�a�h]Yfg �dUf�̀ Yg�fYgdcbgUV`Yg�XY�fYggcifWYg�Yh�bchUaaYbh�]bZcfaUh]eiY"�=`�g»U[]h�XY�aYhhfY�{�̀ U�X]gdcg]h]cb�XYg�X]ZZ�fYbhg�fYgdcbgUV`Yg�W\Uf[�g�X»ib�f�`Y�gd�W]Ã�eiY�XUbg�la mise en œuvre du PCA un instrument de
aYgifY�dcif�j�f]Ã�Yf�̀ »YZÃ�WUW]h��XY�̀ Yifg�UWh]cbg�et les améliorer si nécessaire :
8]gdcb]V]`]h��XYg�fYggcifWYg�gd�W]Ã�eiYg" Processus du PCA intégrés dans les processus
bcfaUil�Yh�f�Z�fYbW�g" Gestion de l’impact de ces processus spéci-
Ã�eiYg�gif�̀ Y�ZcbWh]cbbYaYbh�XY�̀ »cf[Ub]gUh]cb" Df�gYbhUh]cb�Uil�]bghUbWYg�fYdf�gYbhUh]jYg�
du personnel.
:]W\Yg�f��YlYg�dUf�a�h]Yf" J�f]Z]WUh]cb�eiY� `Yg�dfcW�XifYg� fYghYbh�
g]ad`Yg��dUf�YlYad`Y �Ujc]f�`U�a�aY�dfcW�!dure d’évacuation, quelle que soit la cause
du sinistre).
Besoin de soutien par une assistance à la
conduite du changement.
DUf�U]``Yifg�XYg�]bX]WUhYifg�XYjfcbh��hfY�X�Ã�!b]g�dcif�aYgifYf�`»YZÃ�WUW]h��Xi�D75"=`�g»U[]h�̀ {�XY�j�f]Ã�Yf�X»UVcfX�eiY�̀ U�ghfUh�[]Y�XY�Wcbh]bi]h��f�dcbX�Uil�cV^YWh]Zg�Ã�l�g �hY`g�eiY�. Maintenir la disponibilité des activités essen-
h]Y``Yg��hYb]f�ib�b]jYUi�XY�8A=5�gd�W]Ã���dcif�chaque activité essentielle).
Disposer d’indicateurs pour mesurer le niveau
de l’activité normale et de l’activité en mode
dégradé.
Dfch�[Yf� `Y� dUhf]ac]bY� Udd`]WUh]Z� Yh�]bZcfaUh]cbbY`" Tenir la durée et le niveau de service assuré en
mode dégradé, pour chaque activité essentielle,
en cas de déclenchement du plan.
Limiter la durée d’indisponibilité des activités
essentielles de l’organisation et la quantité de
données perdues en cas de déclenchement du
plan, tant au moment de la bascule vers le site
de secours qu’au retour vers le site principal.
Assurer le traitement des besoins par ordre
de priorité.
Assurer le mode secours et le rétablissement
selon les priorités établies.
Ne pas dépasser le coût du PCA validé.
F�Xi]fY�`U�Wcad`Yl]h��XYg�gc`ih]cbg�Xi�D75" S’appuyer sur l’analyse de risque des activités
et des processus de l’organisation.
Revoir cette analyse de risque en cas de décou-
jYfhY�XY�bcijYUil�f]geiYg�]adcfhUbhg" Améliorer la résilience en étendant progressi-
vement les scénarios pris en compte.
8]gdcgYf�X»ibY�cf[Ub]gUh]cb�f�X�Y�Yh�V]Yb�YbhfU�b�Y�{�f�U[]f�Uil��j�bYaYbhg �m�Wcadf]g�Uil�dfcV`�aYg�]adf�jig �YhW"�Finalement des indicateurs peuvent permettre de suivre les valeurs d’évolution du PCA
WcaaY�̀ Y�X�`U]�XYdi]g�`Yg�XYfb]Yfg�YlYfW]WYg�f�U`]g�g �XYdi]g�`U�XYfb]�fY�fYa]gY�{�^cif�XY�`»UbU`mgY�XY�f]geiY�ci�WY``Y�XYg�X]ZZ�fYbhg��`�!ments de la documentation du plan.
objectif
Il est recommandé de disposer d’indicateurs regroupés dans un tableau de bord qui
XcbbY�ibY�aYgifY�[`cVU`Y�XY�`»YZÃ�W]YbWY�Xi�d`Ub�Yh�XY�gU�a]gY�Yb�µijfY"�7YhhY�`]ghY�X»]bX]WUhYifg�Ygh�ih]`YaYbh�UbbYl�Y�Ui�D75"
:=7<9�25
les indicateurs d’eFFicience du pca
62Guide pour réaliser un plan de continuité d’activité
Guide pour réaliser un plan de continuité d’activité 63
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
Maintien en condition opérationnelle du PCA
page 1/2
le pca doit bien faire apparaître : La hiérarchisation des priorités.
L’organisation et le processus pour la prise
de décision.
Les moyens mobilisables.
@Yg�dfcWYggig�gd�W]�eiYg�Ui�D75" @Yg�X]gdcg]h]Zg�Yh�`Yg�fYggcifWYg�ei]�Xc]jYbh�
être connus et rester disponibles.
@Yg�Wcbhf�`Yg" @Y�X]gdcg]h]Z�X»Ua�`]cfUh]cb�Wcbh]biY"
Une fois le plan établi et validé, les ressources Xc]jYbh��hfY�YZZYWh]jYaYbh�]XYbh]Ã��Yg �`Yg�acX]Ã�WUh]cbg�]bX]ei�Yg�Xc]jYbh��hfY�YZZYW!tuées, les procédures revues et intégrées dans les processus « métier », et les contrôles doi-vent être effectifs.
le plan doit être vivant et faire l’objet de contrôles réguliers : J�f]Ã�WUh]cbg�d�f]cX]eiYg" 9bhfYh]Yb�XYg�X]gdcg]h]Zg�XY�gYWcifg" Tests des procédures de bascule.
9lYfW]WYg�Yh�YbhfU�bYaYbh��g]ai`�g�ci�f�Y`g�" HYbiY�{�^cif�Xi�d`Ub" Mesure du niveau de maturité.
F�j]g]cb�XYg�dfcW�XifYg�Yh�X]gdcg]h]Zg" FYhcif�X»Yld�f]YbWY�Yh�Yld`c]hUh]cb�XYg�
F9H9L"
Rédaction de la documentation du PCA : Il est recommandé de disposer d’un outil de
gestion documentaire pour gérer et entretenir
la documentation.
Il est recommandé qu’une copie (papier et/ou
bia�f]eiY��XY�̀ U�XcWiaYbhUh]cb�gc]h�ghcW_�Y�sur un site distant de l’organisation, dans un
`]Yi�g�Wif]g��Yh�UWWYgg]V`Y�Yb�ZcbWh]cb�XYg�scénarios.
les exercices :@Yg�YlYfW]WYg�gcbh�ib�acmYb�dYfh]bYbh�dcif�jU`]XYf� `»YZZ]W]YbWY�Yh� `»YZZ]WUW]h��Xi�D75"�7\UeiY�YlYfW]WY�Xc]h��hfY�dYbg��Yh�cf[Ub]g��Yb�ZcbWh]cb�XY�WY�eiY�̀ »cb�jYih�j�f]Ã�Yf"�=`�dYih�g»U[]f�dUf�YlYad`Y�XY�j�f]Ã�Yf�. @U�dfcW�XifY�X»U`YfhY��dUf�ib�YlYfW]WY�gif�
table).
@Y�ZcbWh]cbbYaYbh�XY�̀ U�WY``i`Y�XY�Wf]gY��dUf�ib�YlYfW]WY�g]ai`� �UjYW�UWh]jUh]cb�XY�̀ U�WY``i`Y�de crise).
Les procédures techniques de basculement
en mode secours (par la mise en œuvre réelle
et périodique).
@U�WccfX]bUh]cb�XYg�X]ZZ�fYbhYg�dUfh]Yg�dfY!bUbhYg �`cfg�X»ib�YlYfW]WY�XY�f�dcbgY�{�ib�incident grave simulé.
Exercices de validation du PCA : =`�Ygh�fYWcaaUbX��XY�g»UggifYf�eiY�`U�Zcf!
aUh]cb�XYg�dYfgcbbY`g�Uil�dfcW�XifYg�hYW\!niques a bien été ciblée et réalisée avant de
X�W`YbW\Yf�`Yg�dfYa]Yfg�YlYfW]WYg" Il est recommandé de tester les éléments
Wf]h]eiYg�Xi�d`Ub�Ui�ac]bg�ibY�Zc]g�dUf�Ub" =`�Ygh�fYWcaaUbX��XY�hYghYf�f�[i`]�fYaYbh�
la procédure de récupération des sauve-
[UfXYg�Yh�XY�g»UggifYf�XY�gcb�YZÃ�WUW]h��Yh�XY�gYg�dYfZcfaUbWYg�dUf�fUddcfh�Uil�VYgc]bg�XY�l’organisation.
Le contrôle documentaire et les rencontres avec les responsables de la mise en œuvre du PCA :=`�Ygh�dcgg]V`Y�XY�j�f]Ã�Yf�dUf�ib�g]ad`Y�Wcbhf�`Y�documentaire que les ressources, procédures et organisations prévues dans le PCA répon-dent bien sur le papier à ces objectifs. Il s’agit
objectif
=XYbh]Ã�Yf�`Yg�dc]bhg�W`�g�XYg�Wcbhf�`Yg�{�YZZYWhiYf�dcif�g»UggifYf�eiY�`Y�D75�Ygh�opérationnel et le reste dans la durée.
:=7<9�26
le maintien en condition opérationnelle du pca
page suivante
64Guide pour réaliser un plan de continuité d’activité
X»ibY�h|W\Y�X»UiX]h�j]gUbh�{�j�f]Ã�Yf�eiY�`Yg�ressources, procédures et organisations
df�jiYg�XUbg�`Y�D75�gcbh�YZZYWh]jYaYbh�Yb�place, ou peuvent être mises en place dans
les délais prévus. Il convient également de j�f]Ã�Yf�eiY�̀ Yg�d`Ubg �XcWiaYbhUh]cbg �X]fYW!tives et consignes sont connus et accessibles facilement, en toutes circonstances, et propres à l’usage immédiat.
=`�ZUih�YbÃ�b�apprécier la formation, la connais-sance, la compétence et la compréhension du rôle que doit tenir chaque personne ayant une a]gg]cb�X�Ã�b]Y�XUbg�`Y�WUXfY�Xi�D75"
Cette vérification de capacité peut être
ZU]hY� XY� aUb]�fYg� X]ZZ�fYbhYg� Yh� dUfZc]g�complémentaires :
Audit interne périodique, et mise en place
Yh�Yld`c]hUh]cb�XYg�f�gi`hUhg�XYg�Wcbhf�`Yg�YZZYWhi�g"
GifjY]``UbWY� f�[i`]�fY� Yh� fYjiYg� XY�dYfZcfaUbWY"� J�f]Ã�WUh]cb�XY�̀ U�WcbZcfa]h��UjYW�̀ Yg�bcfaYg�
�bchUaaYbh�=GC�&&'$%��dUf�Uihc!�jU`iUh]cb�ci�dUf�ib�cf[Ub]gaY�XY�WYfh]Ã�WUh]cb�h]Yfg�Yh�accrédité.
Questionnaires d’auto-évaluation sur la
WcbbU]ggUbWY�Yh�`»YZÃ�WUW]h��Xi�D75" %HQFKPDUNLQJ, par comparaisons avec
d’autres organisations.
HYghg�f�[i`]Yfg�XYg�X]gdcg]h]Zg�hYW\b]eiYg" F9H9L�gmgh�aUh]eiYg�gi]hY�{�hcih��j�bYaYbh�
grave.
9lYfW]WYg �m�Wcadf]g�UjYW�`Yg�dUfhYbU]fYg�stratégiques.
J�f]Ã�WUh]cb�Xi�ZcbWh]cbbYaYbh�Xi�X]gdcg]h]Z�d’amélioration continue.
Maintien en condition opérationnelle du PCA :=7<9�26page 2/2
les fiches pratiques
les fiches pratiques
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
5gdYWhg�^if]X]eiYg�UggcW]�g�{�`U�a]gY�Yb�µijfY�XY�D75
La continuité d’activité doit nécessairement
être appréhendée à travers le prisme de la
fYgdcbgUV]`]h��^if]X]eiY�XY�`»YbhfYdf]gY"�@Y�d`Ub�XY�Wcbh]bi]h��X»UWh]j]h��{�jcWUh]cb�{�̂ ciYf �XUbg�ibY�g]hiUh]cb�XY�ZU]h�YlWYdh]cbbY``Y �gUbg�pour autant que le droit ne s’inscrive dans
WYhhY�`c[]eiY�X»YlWYdh]cb�WcbZcfa�aYbh�{�`U�aUl]aY�.��{�g]hiUh]cb�YlWYdh]cbbY``Y �fYgdcb!sabilité ordinaire ».
9b�ZU]h �]`�g»U[]h�X»Uddf�\YbXYf�̀ U�fYgdcbgUV]`]h��de l’organisation qui met en œuvre le plan
XY�Wcbh]bi]h� �XY�gU�X�ZU]``UbWY �jc]f�XY�gcb�absence. Cela suppose de connaître l’origine
Yh�̀ U�ZcfWY�cV`][Uhc]fY�XYg�hYlhYg�Udd`]WUV`Yg�{�`»YbhfYdf]gY�Yb�aUh]�fY�XY�Wcbh]bi]h��X»UWh]j]h�"�@U�fYgdcbgUV]`]h��^if]X]eiY�Ygh�YbhYbXiY�XY�ZU�cb�YlhYbg]jY�Yh�̀ »]bh�[fU`]h��XYg�UgdYWhg�XY�la responsabilité, tant au plan pénal, que civil
(responsabilité contractuelle et délictuelle),
Xc]h��hfY�YlUa]b�Y"
quelques points d’attention : @Y�W\YZ�X»YbhfYdf]gY�dYih��hfY�hYbi�d�bU`Y!
aYbh�fYgdcbgUV`Y�X»ibY�ZUihY�X»]adfiXYbWY �d’une négligence, d’un manquement à une
obligation de prudence ou de la mise en danger
délibérée de la personne d’autrui 22.
@Y�fYgdYWh�XYg�f�[`Yg�ei]�fY`�jYbh�XY�`U�responsabilité sociale et environnementale
doit être recherché (notamment pour ce qui
WcbWYfbY�̀ U�df�jYbh]cb�XYg�f]geiYg�dfcZYgg]cb!nels23�Yh�Ybj]fcbbYaYbhUil�"
Le code du commerce dispose qu’un rapport
XYgWf]dh]Z�XYg�df]bW]dUil�f]geiYg�Xc]h��hfY�df�gYbh��Uil�UggYaV`�Yg�[�b�fU`Yg�XY�gcW]�h�g�anonymes24.
@Y�fYgdYWh�XYg�hYlhYg�Ygh�ZUW]`]h��eiUbX�]`�g»U[]h�XY�aYgifYg�XY�g�Wif]h� �WUf�Y``Yg�Zcbh�`»cV^Yh�XY�dfYgWf]dh]cbg�gd�W]Ã�eiYg��hYlhYg�bcfaUh]Zg�"�7Y`U�Ygh�d`ig�Wcad`YlY�dcif�`Yg�f�[`Yg�XY�g�fYh���dfchYWh]cb�WcbhfY�`Yg�UWhYg�de malveillance ou de terrorisme) pour les-
quels il n’y a pas de norme, mais seulement
XYg�df]bW]dYg�[�b�fUil��gUiZ�XUbg�XYg�WUg�hf�g�gd�W]Ã�eiYg��X�Wf]hg �dUf�YlYad`Y �XUbg�`Yg�cV`][Uh]cbg�]adcg�Yg�Uil��cd�fUhYifg�d’importance vitale ».
le transfert à une autre entreprise de certaines missions n’exonère pas pour autant automa-tiquement l’entreprise délégataire de sa res-ponsabilité, notamment quand elle conserve la maîtrise d’œuvre du dispositif concerné.
objectif
DfYbXfY�WcbgW]YbWY�ei»]`�Ygh�b�WYggU]fY�XY�j�f]Ã�Yf�`U�WcbZcfa]h��Xi�D75�Yh�XYg�aYgifYg�dfcdcg�Yg�UjYW�`Yg�`c]g�Yh�f�[`YaYbhg��WcXY�Xi�hfUjU]` �WcXY�Xi�WcaaYfWY �WcXY�XY�`U�X�ZYbgY �WcXY�W]j]` �WcXY�d�bU` �YhW"�"
:=7<9�27
aspects Juridiques associés À la Mise en Œuvre d’un pca
65Guide pour réaliser un plan de continuité d’activité
22 / article 121-3 du code pénal.
23 / articles l. 4121-1 à l. 4121-5 du code du travail.
24 / article l. 225-100 du code de commerce.
@Yl]eiY
66Guide pour réaliser un plan de continuité d’activité
les annexes
=`�Ygh�WcbgY]``��XY�Wcbgi`hYf�`Y�@Yl]eiY�ghfiWhif��XY�`U�Wcbh]bi]h��X»UWh]j]h� �f�X][��dUf�`Y�7`iV�XY�`U�7cbh]bi]h��X»5Wh]j]h� �ei]�dfcdcgY�ibY�`]ghY�XY�X�Ã�b]h]cbg�hf�g�Wcad`�hY"
Bcig�dfcdcgcbg�]W]�XY�Wcifhg�YlhfU]hg�XY�hYfa]bc`c[]Y�bcfaU`]g�Y"�
5BB9L9�1
leXique
8�Ã�b]h]cbg Références
GESTION DE LA CONTINUITÉ D’ACTIVITÉ
Gestion de la continuité d'activité
processus de management holistique qui identifie les menaces potentielles pour une
organisation ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir
sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire
`U�f�g]`]YbWY�XY�`»cf[Ub]gUh]cb�UjYW�ibY�WUdUW]h��XY�f�dcbgY�YZÃ�WUWY�df�gYfjUbh�`Yg�]bh�f�hg�de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices
de valeurs.
=GC�&&'$%�.�&$%&�:�
Continuité d’activité Capacité de l’organisation à poursuivre la fourniture de produits ou la prestation de services à
XYg�b]jYUil�UWWYdhUV`Yg�Yh�df�U`UV`YaYbh�X��b]g�Udf�g�ib�]bW]XYbh�dYfhifVUhYif"=GC�&&'$%�.�&$%&�:�
Plan de continuité d’activité procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre
Yh�fYhfcijYf�ib�b]jYUi�XY�ZcbWh]cbbYaYbh�df�X�Ã�b]�{�`U�gi]hY�X»ibY�dYfhifVUh]cb"=GC�&&'$%�.�&$%&�:�
Objectif minimal de continuité d’activité
niveau minimal de services et/ou de produits acceptables par l’organisation pour atteindre ses
objectifs métiers pendant une perturbation.=GC�&&'$%�.�&$%&�:�
Durée maximale d’interruption acceptable DMIA
HYadg�b�WYggU]fY�dcif�eiY�̀ Yg�]adUWhg�X�ZUjcfUV`Yg�dcijUbh�f�gi`hYf�XY�̀ U�bcb�Zcifb]hifY�X»ib�produit/service ou de la non réalisation d’une activité, deviennent inacceptables.
=GC�&&'$%�.�&$%&�:�
Perte de données maximale admissible PDMA
@U�dYfhY�aUl]aU`Y�XY�Xcbb�Yg��`]�Y�Uil�gUijY[UfXYg��dcif�eiY�WY``Y!W]�gc]h�X»ib�b]jYUi�acceptable par les services utilisateurs. par exemple, au démarrage après un sinistre, les
données peuvent dater de la veille au soir, du matin, ou du moment du sinistre, selon la
procédure de réplication/sauvegarde utilisée.
CCa/aFnor
GESTION DES RISQUES
Risque
effet de l’incertitude sur l’atteinte des objectifs
�Ib�YZZYh�Ygh�ib��WUfh �dcg]h]Z�Yh#ci�b�[Uh]Z �dUf�fUddcfh�{�ibY�UhhYbhY�"
7YhhY�X�Z]b]h]cb�U��h�� fYjiY� `cfg�Xi�X�jY`cddYaYbh�XY� `U�bcfaY� =GC�'%$$$�.� &$$-�/��Y``Y�UVUbXcbbY� `U�j]g]cb�XY� `»]b[�b]Yif���le risque est la combinaison de probabilité
d’événement et de sa conséquence�®��dcif�Wcid`Yf�`Yg�f]geiYg�Uil�cV^YWh]Zg�XY�`»cf[Ub]gUh]cb�.�« le risque est l’effet de l’incertitude sur les objectifs ».
iso 73
Appréciation du risque 9bgYaV`Y�Xi�dfcWYggig�X»]XYbh]Ã�WUh]cb�XYg�f]geiYg �X»UbU`mgY�Xi�f]geiY�Yh�X»�jU`iUh]cb�Xi�f]geiY" iso 73
Management du risque activités coordonnées dans le but de diriger et piloter une organisation vis-à-vis du risque. iso 73
Source de risque Hcih��`�aYbh�ei] �gYi`�ci�WcaV]b��{�X»UihfYg �df�gYbhY�ib�dchYbh]Y`�]bhf]bg�eiY�X»Yb[YbXfYf�un risque.
iso 73
Vulnérabilité propriétés intrinsèques de quelque chose entraînant une sensibilité à une source de risque
pouvant induire une conséquence.iso 73
Conséquences effet d’un événement affectant les objectifs. iso 73
Résilience Capacité d’adaptation d’un organisme dans un environnement complexe et changeant. iso 73
Attitude face au risque approche d’un organisme pour apprécier un risque avant, éventuellement, de saisir ou
préserver une opportunité ou de prendre ou rejeter un risque.iso 73
Goût du risque importance et type d’opportunité qu’un organisme est prêt à saisir ou à préserver ou de risque
qu’il est prêt à prendre.iso 73
Propriétaire du risque personne ou entité ayant la responsabilité du risque et ayant autorité pour le gérer. iso 73
les annexes
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
F�Z�fYbWYg 5BB9L9�2
Ce guide a vocation à poser les principes et
`Yg�f�[`Yg�X»�`UVcfUh]cb�X»ib�D75 �gUbg�gY�giVgh]hiYf�Uil�X]ZZ�fYbhg�[i]XYg�ci�bcfaYg�Yl]ghUbh� gif� `Y� gi^Yh �aU]g� Yb� m� ZU]gUbh�f�Z�fYbWY"�Gcb�cV^YWh]Z �dUf�ibY�UddfcW\Y�volontairement globale, est d’apporter les
éléments de bonne pratique et de cohérence
nécessaires au dialogue entre les respon-
gUV`Yg�XYg�hfUjUil�X»�`UVcfUh]cb�XY�D75�XY�X]ZZ�fYbhYg�cf[Ub]gUh]cbg �diV`]eiYg�ci�df]!j�Yg"�=`�g»UXfYggY�XcbW�Uil�UXa]b]ghfUh]cbg �Uil�Wc``YWh]j]h�g�Yh�Uil�YbhfYdf]gYg"
exemples de pertes de continuité d’activité : =bZcbYh]Wg�FYgYUfW\ �Ujf]`�&$$+ �k\]hY�
paper Û5HGXFLQJ� 'RZQWLPH� &RVWV� ZLWK�1HWZRUN�%DVHG�,36Û.
+D]DUGV�DQG�YXOQHUDELOLW\�LQ�PRGHUQ�VRFLH�WLHV��XVLQJ� WKH�H[DPSOH�RI�D� ODUJH�VFDOH�RXWDJH�LQ�WKH�HOHFWULFLW\�VXSSO\���7$%�UHSRUW�QR�������%HUOLQ�����������SDJHV�http://www.tab-beim-bundestag.de/en/
publications/reports/ab141.html
:i_ig\]aU�fUddcfh�=FGB#8;#&$%&!$$%�"
enquêtes : HYbXUbWYg� acbX]U`Yg� Yb� aUh]�fY� XY�
résilience et de gestion du risque métier
�9bgY][bYaYbhg� XY� `»�hiXY� =6A� ;`cVU`�6ig]bYgg�FYg]`]YbWY�UbX�F]g_�GhiXm�&$%%�" FYdcfh�cb�h\Y�5WWYbhifY�&$%%�;`cVU`�F]g_�
Management Study.
vhiXY�&$%%�Xi�7F98��&HQWUH�IRU�5HVHDUFK�RQ�WKH�(SLGHPLRORJ\�RI�'LVDVWHUV).
D75�XUbg�̀ Y�gYWhYif�VUbWU]fY�Yh�Ã�bUbW]Yf�. Df]bW]dYg�X]fYWhYifg�Yb�aUh]�fY�XY�Wcbh]!
bi]h��X»UWh]j]h� �`Y�Zcfia�hf]dUfh]h� �Wca]h��XY�6|`Y�gif�̀ Y�Wcbhf�`Y�VUbWU]fY �Uc�h�&$$*" F�[`YaYbh�b��-+!$&�Xi�&%�Z�jf]Yf�%--+�fY`U!
h]Z�Ui�Wcbhf�`Y�]bhYfbY�XYg��hUV`]ggYaYbhg�XY�crédit et des entreprises d’investissement
portant sur la réglementation prudentielle
des établissements de paiement.
F�[`YaYbh�b��-'!$)�Xi�&%�X�WYaVfY�%--'�fY`Uh]Z�Ui�Wcbhf�`Y�XYg�[fUbXg�f]geiYg"
@Yg�X]gdcg]h]Zg�XY�[Ygh]cb�XYg�f]geiYg�Yh�XY�Wcbhf�`Y�]bhYfbY��5ihcf]h��XYg�aUfW\�g�Ã�bUbW]Yfg�" La directive MIF (0DUNHWV� LQ� )LQDQFLDO�,QVWUXPHQWV�'LUHFWLYH), publiée au�-RXUQDO�Rï��FLHO�GH�OØ8QLRQ�HXURS«HQQH le 30 avril 2004.
6ROYHQF\�,, pour le secteur des assurances.
gestion du risque pour les sociétés cotées : @Y�7CGC�Ygh� ib� f�Z�fYbh]Y`� XY� Wcbhf�`Y�
]bhYfbY�X��b]�dUf�`Y�&RPPLWWHH�2I�6SRQVRULQJ�2UJDQL]DWLRQV�RI�WKH�7UHDGZD\�&RPPLVVLRQ. Il
est utilisé notamment dans le cadre de la mise
en place des dispositions relevant des lois
@c]�GUfVUbYg!Cl`Ym �GCL�ci�@c]�XY�g�Wif]h��Ã�bUbW]�fY �@G: �dcif�`Yg�YbhfYdf]gYg�Uggi^Yh!h]Yg�fYgdYWh]jYaYbh�Uil�`c]g�Ua�f]WU]bYg�ci�ZfUb�U]gYg"�@Y�f�Z�fYbh]Y`�]b]h]U`�UddY`��7CGC�%�a évolué depuis 2002 vers un second corpus
X�bcaa��7CGC�&" @U�X]fYWh]jY�Yifcd�YbbY�&$$*#(*#79" @U�`c]�Xi�'�^i]``Yh�&$$,�U�hfUbgdcg��WYhhY�
X]fYWh]jY�XUbg�`Y�Xfc]h�ZfUb�U]g�Yh�Wcad`�h� �dUf�`U�a�aY �`U�@c]�XY�G�Wif]h��:]bUbW]�fY�(LSF) du 1er août 2003. Il en est résulté une
acX]Ã�WUh]cb�XYg�Ufh]W`Yg�@"�&&)!'+�Yh�@"�&&)!*,�XY�WcXY�Xi�WcaaYfWY�ei]�U��hYbXi�`»cV^Yh�Xi�rapport du président sur les procédures de
Wcbhf�`Y�]bhYfbY�Uil�dfcW�XifYg�XY�[Ygh]cb�des risques mises en place par les sociétés
ZU]gUbh�UddY`�diV`]W�{�`»�dUf[bY"
méthodologies : 7`iV�XY�Wcbh]bi]h��X»UWh]j]h��.�@Yl]eiY�ghfiW!
hif��XY�̀ U�Wcbh]bi]h��X»UWh]j]h� �̀ ]jfY�V`UbW�b�% �version 2.0.
Club de continuité d’activité : Guide de bonnes
pratiques de la continuité d’activité à l’attention
des Directions des Ressources Humaines.
Club de continuité d’activité : Plan de
Continuité d’Activité & Gestion de Crise –
Fascicule pratique de la mise en place du travail
cWWUg]cbbY`�{�X]ghUbWY��HC58�" A]b]gh�fY�XY�̀ U�8�ZYbgY�.�;i]XY�8;G=7�b�$$(�
portant sur la rédaction des plans de continuité
d’activité (PCA) et plan de reprise d’activité
(PRA) 23/07/2010.
réFérences
page suivante
Guide pour réaliser un plan de continuité d’activité 67
page 1/3
les annexes F�Z�fYbWYg 5BB9L9�2
A]b]gh�fY�XY�̀ U�8�ZYbgY�.�;i]XY�8;G=7�b�$$)�dispositions pratiques et techniques de conti-
bi]h��]bZcfaUh]eiY �%$#%&#&$%$" AcX�`Y�7AA=��ei]�dYfaYh�XY�W`UggYf�Yb�W]be�
b]jYUil�XY�aUhif]h��`Yg�dfUh]eiYg�XY�`»YbhfY!df]gY�/�dcif�UhhY]bXfY�W\UeiY��hU[Y �`»YbhfY!prise doit mener des actions d’amélioration
au niveau des processus clés.
A�h\cXYg�X»UbU`mgY�XY�X�ZU]``UbWY�Yh�XY�̀ Yifg�YZZYhg��5A897 �<577D �*�g][aU �YhW"�" La cartographie : un outil de gestion des
f]geiYg��5AF59�" @U� [Ygh]cb� XYg� f]geiYg�.� C`]j]Yf� <Ugg]X�
�8IBC8 �&$$,�" FYhcif�X»Yld�f]YbWY�Yh�aU�hf]gY�XYg�f]geiYg�.�
Jean-Luc Wybo et Wim Wassenhove (collec-
tion sciences du risque et du danger, édition
Lavoisier).
@U�a�h\cXY�XY�[Ygh]cb�XYg�f]geiYg�96=CG�kkk"gg]"[cij"Zf#. Le guide de l’intelligence économique,
délégation interministérielle à l’intelligence
économique (Hachette 2012), qui donne des
solutions de bonnes pratiques et un guide
d’autodiagnostic.
normalisation : Dfc^Yh�XY�[i]XY�=GC�+'�AUbU[YaYbh�Xi�f]geiY�
— Vocabulaire.
=GC#&&'$%�G�Wif]h��gcW]�hU`Y�·�;Ygh]cb�XY�`U�Wcbh]bi]h��XYg�UZZU]fYg�·�9l][YbWYg" =GC#:8=G�'%$$$�AUbU[YaYbh�Xi�f]geiY�·�
Principes et lignes directrices.
=GC#=97�&+$$&�HYW\bc`c[]Yg�XY�̀ »]bZcfaUh]cb�— Techniques de sécurité — Code de bonne
pratique pour la gestion de la sécurité de
`»]bZcfaUh]cb" =GC�&*$$$�¶�fYgdcbgUV]`]h��gcW]�hU`Y�XYg�
organisations.
5:BCF�F�Z�fYbh]Y`�XY�VcbbYg�dfUh]eiYg �D`Ub�de continuité d’activité (PCA), BP Z74-700,
11 avril 2011.
=F;7�f]g_�aUbU[YaYbh�ZfUaYkcf_"
obligations et guides de bonnes pratiques : Portail du Gouvernement pour la prévention
XYg�f]geiYg�aU^Yifg�kkk"f]geiYg"[cij"Zfwww.prim.net
Délégation interministérielle à l’Intelligence
�Wcbca]eiY��8&=9��kkk"]bhY``][YbWY!YWcbca]eiY"[cij"Zf
Agence nationale pour la sécurité des sys-
h�aYg�X»]bZcfaUh]cb�kkk"gg]"[cij"Zf#\hhd.##kkk"gYWif]hY!]bZcfaUh]eiY"[cij"Zf# @Y�<Uih�7ca]h��:fUb�U]g�XY�̀ U�8�ZYbgY�7]j]`Y�
(HCFDC) \hhdg�.##kkk"\WZXW"cf[#Uggc# Le Club de la continuité d’activité
http://www.clubpca.eu/
@U�jU`cf]gUh]cb�XYg�UWh]Zg�]aaUh�f]Y`�df�gYb!h�Y�dUf�`»CVgYfjUhc]fY�XY�`»]aaUh�f]Y`�http://www.observatoire-immateriel.com/
G]hY�X»]bZcfaUh]cb�\hhd.##kkk"]bZc!Wf]gYg"Zf# Plans de protection des risques (naturels,
hYW\b]eiYg �Ybj]fcbbYaYbhUil�" Le document unique d’évaluation des risques
8I9F �Wf���dUf�`Y�X�WfYh�b��&$$%!%$%*�Xi�)�novembre 2001, qui a transposé la directive
européenne sur la prévention des risques
dfcZYgg]cbbY`g" Circulaire DGT 2007/18 du 18 décembre
2007 relative à la continuité de l’activité des
YbhfYdf]gYg�Yh�Uil�WcbX]h]cbg�XY�hfUjU]`�Yh�d’emploi des salariés du secteur privé en cas
de pandémie grippale.
7]fWi`U]fY�8;5:D�Xi�&*�Uc�h�&$$-�j]gUbh�{�assurer la continuité du service public dans
les administrations de l’État et des collecti-
vités locales en cas de pandémie grippale.
Code du travail article L. 4121-1 « L’employeur
prend les mesures nécessaires pour assurer
la sécurité et protéger la santé physique et
mentale des travailleurs. Ces mesures com-
dfYbbYbh�.�%��8Yg�UWh]cbg�XY�df�jYbh]cb�XYg�f]geiYg�dfcZYgg]cbbY`g�Yh�XY�`U�d�b]V]`]h��Ui�hfUjU]`�/�&���8Yg�UWh]cbg�X»]bZcfaUh]cb�Yh�XY�ZcfaUh]cb�/�'��@U�a]gY�Yb�d`UWY�X»ibY�cf[U!nisation et de moyens adaptés. L’employeur
veille à l’adaptation de ces mesures pour tenir
compte du changement des circonstances
et tendre à l’amélioration des situations
Yl]ghUbhYg�®" Code du travail article R. 4121-1
�@»Yad`cmYif�hfUbgWf]h�Yh�aYh�{�̂ cif�XUbg�ib�document unique les résultats de l’évaluation
des risques pour la santé et la sécurité des
hfUjU]``Yifg�{�`UeiY``Y�]`�dfcW�XY�Yb�Udd`]WU!tion de l’article L. 4121-3.Cette évaluation
WcadcfhY�ib�]bjYbhU]fY�XYg�f]geiYg�]XYbh]Ã��g�dans chaque unité de travail de l’entreprise
ou de l’établissement (…) » et art. R.4741-1.
�@Y�ZU]h�XY�bY�dUg�hfUbgWf]fY�ci�XY�bY�dUg�aYhhfY�{�^cif�`Yg�f�gi`hUhg�XY�`»�jU`iUh]cb�
page 2/3
68Guide pour réaliser un plan de continuité d’activité
page suivante
les annexes F�Z�fYbWYg 5BB9L9�2
XYg�f]geiYg �XUbg�̀ Yg�WcbX]h]cbg�df�jiYg�Uil�articles R. 4121-1 et R 4121-2, est puni de
l‘amende prévue pour les contraventions de
5e classe ».
7cXY�Xi�hfUjU]`�Ufh]W`Y�@"�%&&&!%%��9b�WUg�XY�W]fWcbghUbWYg�YlWYdh]cbbY``Yg �bchUaaYbh�XY�aYbUWY�X»�d]X�a]Y �ci�Yb�WUg�XY�ZcfWY�aU^YifY �̀ U�a]gY�Yb�µijfY�Xi�h�`�hfUjU]`�dYih�être considérée comme un aménagement du
poste de travail rendu nécessaire pour per-
mettre la continuité de l’activité de l’entre-
prise et garantir la protection des salariés.
Les conditions et les modalités d’application
Xi�df�gYbh�Ufh]W`Y�gcbh�X�Ã�b]Yg�dUf�X�WfYh�Yb�Conseil d’État ».
@Y�X]gdcg]h]Z�XY�g�Wif]h��XYg�UWh]j]h�g�X»]a!dcfhUbWY�j]hU`Y�gY`cb�`Y�WcXY�XY�`U�X�ZYbgY�(notamment ses articles R. 1332-1 à R. 1332-
(& �df]g�gif�`Y�ZcbXYaYbh�XY�gYg�Ufh]W`Yg�@"�1332-1 à L. 1332-7), constitue le cadre per-
mettant d’associer les opérateurs, publics
ci�df]j�g �Ui�gmgh�aY�bUh]cbU`�XY�dfchYWh]cb�contre le terrorisme, d’analyser les risques
et d’appliquer les mesures de leur niveau en
cohérence avec les décisions des pouvoirs
publics.
G�Wif]h�� XYg� hfUbgdcfhg� �C95 � 7!HD5H �Megaport, CSI, ISPS, ADR…).
9l][YbWYg�gd�W]Ã�eiYg�{�̀ »UWh]j]h���G9J9GC �HA8 �F957< �Fc<G¯�" Article L. 225-100 du code de commerce « Le
rapport [présenté en assemblée générale des
sociétés anonymes] comporte également une
XYgWf]dh]cb�XYg�df]bW]dUil�f]geiYg�Yh�]bWYf!h]hiXYg�UileiY`g�`U�gcW]�h��Ygh�WcbZfcbh�Y�®" Code civil, notamment l’article 1382 « Tout
ZU]h�eiY`WcbeiY�XY�`»\caaY �ei]�WUigY�{�Uihfi]�ib�XcaaU[Y �cV`][Y�WY`i]�dUf�̀ U�ZUihY�duquel il est arrivé, à le réparer ».
Code pénal, code de commerce, etc.
page 3/3
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
69Guide pour réaliser un plan de continuité d’activité
les annexes Fiche guide synthétique pour l’autoévaluation des bonnes pratiques 5BB9L9�3
Fiche guide sYnthétiquepour l’auto-évaluationdes Bonnes pratiques
page 1/2
page suivante
Guide pour réaliser un plan de continuité d’activité 70
ETAPES ET ACTIONS OUI NON OBSERVATIONS
%"��8��b]h]cb�Xi�WcbhYlhY �]XYbh]�WUh]cb�XYg�cV^YWh]Zg�Yh�XYg�UWh]j]h�g�YggYbh]Y``Yg"
1.1. la direction est-elle fortement impliquée ?
1.2. un chef de projet doté des compétences, de l’autorité et de l’autonomie nécessaires
a-t-il été nommé ?
1.3. le contexte et le périmètre de pCa ont-ils été précisés ?
%"("�@Yg�cV^YWh]Zg �̀ Yg�UWh]j]h�g�YggYbh]Y``Yg �̀ Yg�Ä�il�Yh�̀ Yg�fYggcifWYg�Wf]h]eiYg�cbh!]`g��h��]XYbh]Ã��g�3
1.5. les processus de l’organisation ont-ils été cartographiés ?
%"*"�@Yg�Ä�il�YbhfY�`Yg�gmgh�aYg�X»]bZcfaUh]cb�giddcfhUbh�`Yg�dfcWYggig�cbh!]`g��h��WUfhc[fUd\]�g�3�
2. Déterminer les attentes de sécurité pour tenir les objectifs.
&"%"��@Yg�gmgh�aYg�XY�h�`�d\cb]Y �gYfjYifg�XY�Ã�W\]Yfg�Yh�aYggU[Yf]Y�cbh!]`g��h��]bh�[f�g�dans les systèmes critiques de l’organisation ?
2.2. les ressources critiques « dures » ont-elles été prises en compte ?
2.3. les ressources immatérielles ont-elles été prises en compte ?
2.4. les niveaux de fonctionnement en mode dégradé sont-ils explicités ? ont-ils été validés
Yb�`]U]gcb�UjYW�`Y�g���W`]Ybh�g��®�3
2.5. les niveaux dégradés de prestations des fournisseurs ont-ils été pris en compte ?
2.6. l’échelle de mesure des conséquences d’interruption validée avec les responsables
est-elle identique pour tous les processus ?
'"�=XYbh]�Yf �UbU`mgYf ��jU`iYf�Yh�hfU]hYf�`Yg�f]geiYg"
'"%"�G]�ibY�UbU`mgY�XY�f]geiYg�df�Yl]ghU]h �U!h!Y``Y��h��fYdf]gY�dcif�Yb�j�f]�Yf�`U�dYfh]bYbWY�3�
'"&"��@»UbU`mgY�XYg�f]geiYg�U!h!Y``Y�dYfa]g�X»]XYbh]Ã�Yf�WYil�WcbhfY�`YgeiY`g�]`�Ygh�df]cf]hU]fY�de se protéger ?
3.3. le pCa global repend-t-il en autant de composantes les scénarios de risques retenus ?
3.4. le pCa prend-t-il en compte les risques opérationnels pour lesquels l’interruption
d’activité résulte de la perte de ressources critiques ?
3.5. les partenaires des secteurs publics et privés susceptibles d’être concernés par les
gW�bUf]cg�cbh!]`g��h��]XYbh]��g�3�
3.6. les interdépendances et les effets en cascade ont-ils été pris en compte ?
("�8�Ã�b]f�`U�ghfUh�[]Y�XY�Wcbh]bi]h��X»UWh]j]h�"
4.1. les objectifs de continuité sont-ils cohérents avec ceux de l’organisation, mesurables,
et tiennent-ils compte des ressources nécessaires ?
4.2. les objectifs de continuité en mode dégradé et pour la reprise d’activité sont-ils cohérents
avec les scénarios de risques retenus ?
4.3. l’ordre de priorité des procédures, des ressources, de la reprise et du basculement
dfc[fYgg]Z�gif�`Yg�gmgh�aYg�bcfaUil�Ygh!]`�]XYbh]���3
4.4. les exigences vis-à-vis des « partenaires » ont-elles été prises en compte de manière réciproque ?
(")"�@Yg�gYfj]WYg�XY�`»vhUh�Yh�`Yg�cf[Ub]gUh]cbg�dUfhYbU]fYg�Xi�D75�gcbh!]`g�]XYbh]Ã��g�Yh�Wcbbig�3
4.6. la stratégie a-t-elle été validée par la direction ?
71Guide pour réaliser un plan de continuité d’activité
5. Mettre en œuvre et assurer l’appropriation du plan
5.1. les actions de communication inhérentes au lancement, à l’appropriation et à la mise en
œuvre du pCa ont-elles été prévues ?
5.2. les mesures à mettre en œuvre et les procédures associées sont-elles simples et accessibles ?
5.3. les dispositifs, moyens et ressources nécessaires à la mise en œuvre du pCa sont-ils
disponibles et/ou en place ?
5.4. les personnels responsables sont-ils désignés, informés et formés aux procédures prévues
dans le pCa ?
)")"��@Yg�]bX]WUhYifg �`Yg�X]gdcg]h]Zg�]h�fUh]Zg�XY�j�f]�WUh]cb �Wcbhf�`Yg �YlYfW]WYg�Yh��jc`ih]cb�Xi�d`Ub�gcbh!]`g�Wcb�ig�Yh�X�W`]b�g�3�
5.6. les procédures de sauvegarde/récupération et les moyens critiques du pCa seront-ils
Wcbhf�`�g�d�f]cX]eiYaYbh�3
les annexes Fiche guide synthétique pour l’autoévaluation des bonnes pratiques 5BB9L9�3page 2/2
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
les annexes Fiche guide d’analyse et d’évaluation des risques pour une situation donnée 5BB9L9�4
Fiche modÈle d’analYseet d’évaluation des risques pour une situation donnée
page 1/2
page suivante
Guide pour réaliser un plan de continuité d’activité 72
1. évaluation du risque (naturel, accidentel, terroriste…) ou de la situation retenue
Catégorie Sous catégorie
HYad�fUhifY�Ylhf�aY��H9� Grand froid
Périmètre pris en compte �@U�WUfUWh�f]gUh]cb�X»ib�f]geiY�dYih�b�WYgg]hYf�XY�X�Ã�b]f�gcb�d�f]a�hfY�X»Udd`]WUh]cb"�DUf�exemple une inondation peut concerner une faible étendue
ci�ibY�jUghY��hYbXiY"�
Référence du risque �@U�f�Z�fYbWY�gYfU�X�Ã�b]Y�XUbg�`Y�XcWiaYbh�XY�gmbh\�gY�
local et national H9�%
Date de rédaction Date de révision
Janvier 2013 Janvier 2015
Description générale du risque��Zcifb]f�`Yg�Xcbb�Yg�[�b�fU`Yg�XY�XYgWf]dh]cb�Xi�f]geiY� La plupart des causes….
@Yg�d\�bca�bYg¯ Danger à cinétique lente, rapide, à impact local, régional…
Évolution historique �Zcifb]f�̀ Yg�Xcbb�Yg�\]ghcf]eiYg�dcif�Uddf�W]Yf�̀ U�dfcVUV]`]h��X»cWWiffYbWY�et souligner une éventuelle évolution)
&$LL ------------------------
%-LL ------------------------
Prospective 2015 �hYbXUbWYg�Yh�dYfgdYWh]jYg�.�Zcifb]f�`Yg�hYbXUbWYg�`cifXYg�WcbWYfbUbh�`»�jc!`ih]cb�Xi�f]geiY�ci�XY�`U�g]hiUh]cb�fYhYbiY"�DUf�YlYad`Y�dcif�`Yg�hYad�fUhifYg�Ylhf�aYg �cb�g»UhhYbX�bcb�dUg�{�ibY�Ui[aYbhUh]cb�gYbg]V`Y�XY�̀ Yif�bcaVfY�aU]g�d`ih�h�{�ibY�]bhYbg]Ã�WUh]cb�Xi�d\�bca�bY�`]�Y�Uil�Wcbg�eiYbWYg�Xi�W\Ub[YaYbh�W`]aUh]eiY�
Tendances et évolution pour le danger ou la crise
Scénarios de dégradation naturelle des phénomènes �=XYbh]Ã�Yf�XYg�gW�bUf]cg�dcgg]V`Yg�Yb�ZcbWh]cb�XY�`»�jc`ih]cb�dfcVUV`Y�Xi�f]geiY�ci�XY�`U�g]hiUh]cb�
2. probabilité ou vraisemblance de la situation retenue
Situation Périmètre pris en compte Probabilité
HYad�fUhifY�Ylhf�aY��H9� nationale 1
HYad�fUhifY�Ylhf�aY��H9� locale 5
les annexes Fiche guide d’analyse et d’évaluation des risques pour une situation donnée 5BB9L9�4page 2/2
3. impact (synthèse de l’analyse)
Situation Périmètre pris en compte Impact
HYad�fUhifY�Ylhf�aY��H9� national 1
HYad�fUhifY�Ylhf�aY��H9� local 2
Détail des impacts
Niveau moyen de l’impact
Types d’impact Sous critères Valeur de l’impact par sous critères et commentaires éventuels
Mineur 2
Humain1.1 nombre de morts
1.2 nombre de blessés
1
2
Social2.1 nombre de personnes
2.2 effet psychologique
2
2
Financier 3.1 Coût global 2
Contractuel 4.1 incidences sur les engagements 2
Cd�fUh]cbbY` 5.1 effets directs
)"&�8��W]YbWY�XYg�gcig!hfU]hUbhg3
3
9bj]fcbbYaYbh 6.1 impact environnemental 1
Image 7.1 impact sur la réputation 1
Juridique8.1 responsabilité civile ou pénale
8.2 obligations réglementaires
1
1
Vulnérabilité et résilience Éléments d’appréciation sur la vulnérabilité et la résilience du secteur et des personnes
concernées
4. évaluation globale
Situation retenue Sous catégorie
HYad�fUhifY�Ylhf�aY Grand froid
Périmètre Impact Probabilité ou vraisemblance Cotation du risque
nationale 1 1 1
locale 2 5 7
8]gdcg]h]Z�XY�d`Ub]Ã�WUh]cb�����¯""
Gestion de crise (préciser les capacités existantes ou à acquérir)�����¯""
73Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
les annexes :]W\Y�[i]XY�XY�F9H9L 5BB9L9�5
Pour chacune des étapes suivantes, décrire les
ZU]hg �`Yg�dfcV`�aYg�fYbWcbhf�g �`Yg�gc`ih]cbg�utilisées pour les résoudre :
caractéristique de l’événement : Caractéristique de l’incident initial.
Facteurs aggravants.
Cinétique.
D�f]a�hfY" 5Wh]j]h�g�UZZYWh�Yg�Yh�WUfUWh�f]gh]eiYg��Xmg!
ZcbWh]cbbYaYbh�ci�Uff�h �Xif�Y�" D\�bca�bYg�Yb�WUgWUXY"
alertes : Détection de signes précurseurs.
Analyse.
Alerte.
Mobilisation.
Décision d’activation de la cellule de crise
(délais).
gestion de crise : Délais de mise en œuvre.
Fonctionnement.
Acteurs.
Connaissance de la situation.
Anticipation.
Décisions.
Coordination.
Communication.
�D`Ub]Ã�WUh]cb�XY�`U�a]gY�Yb�µijfY�Xi�D75�. 5Wh]j]h�g�UZZYWh�Yg" DfcWYggig�UZZYWh�g�Yh�fYggcifWYg�dYfXiYg" 9l]ghYbWY�XY�d`Ub�X]gdcb]V`Y�Yh�UXUdh��{�`U�
situation.
6cbbY�a]gY�{�^cif�Xi�d`Ub" Connaissance du plan.
7`Ufh��Yh�ZUW]`]h��XY�a]gY�Yb�µijfY�Xi�d`Ub" :cbWh]cbbYaYbh�Xi�X]gdcg]h]Z�X»Uddi] �XY�
`»YldYfh]gY�a�h]Yf�Yh�dfcWYggig"
mise en œuvre du pca : Bonne évaluation de la situation et de son
évolution.
Décisions connues.
Pertinence des décisions.
Mise en œuvre des procédures.
Disponibilité des ressources pour mettre en
œuvre le PCA.
FYgdYWh�XYg�X�`U]g��8A=5�dcif�̀ Yg�X]ZZ�fYbhg�acXYg�X�[fUX�g�Yh�`Yg�X]ZZ�fYbhYg�UWh]j]h�g�YggYbh]Y``Yg�UZZYWh�Yg�" 9ZÃ�WUW]h��Xi�D75"
implication des parties prenantes : Consultation des parties prenantes internes.
Dialogue avec les services de l’État.
7cbgi`hUh]cb�XYg�Zcifb]ggYifg �XYg�W`]Ybhg"
respect des obligations : 5gdYWhg�^if]X]eiYg"� Réglementation.
communication associée au pca : Communication interne.
Communication avec les partenaires.
Communication avec le public.
Pertinence des messages.
Réaction des médias.
circulation de l’information : =bZcfaUh]cb�giZÃ�gUbhY"� =bZcfaUh]cb�ih]`Y" 6cbbY�fYacbh�Y�XY�`»]bZcfaUh]cb�hYffU]b" DfcV`�aYg� hYW\b]eiYg� �acmYbg� XY�
transmission).
HfU�UV]`]h��XY�`»]bZcfaUh]cb" 6cbbY�Wcaaib]WUh]cb�YbhfY�`Yg�X]ZZ�fYbhYg�
entités.
Constatation d’incohérences dans les
]bZcfaUh]cbg" 7cbbU]ggUbWY�Xi�b]jYUi�XY�ZcbWh]cbbYaYbh�
des activités essentielles.
Connaissance du niveau de perte des res-
sources critiques.
Connaissance de l’impact sur les partenaires
YlhYfbYg"
gestion du pca : Maîtrise de la situation.
Utilisation des indicateurs pertinents.
7`Ufh��XYg�f�`Yg�XYg�X]ZZ�fYbhg�UWhYifg" Contribution des correspondants du PCA.
Fiche modÈle de reteX
page suivante
Guide pour réaliser un plan de continuité d’activité 74
page 1/2
les annexes :]W\Y�[i]XY�XY�F9H9L 5BB9L9�5
F�`Y�Xi�fYgdcbgUV`Y�Xi�D75" 6cbbY�Wccd�fUh]cb�XYg�X]ZZ�fYbhg�gYfj]WYg" Bonne gestion de la cinétique.
Régularité des points de situation en cohé-
rence avec la cinétique des événements.
Bonne utilisation des outils (points de non
retour, point de décision...).
HfU�UV]`]h��XYg�X�W]g]cbg" 8]ZÃ�Wi`h�g�XY�̀ Ub[U[Y��jcWUVi`U]fY�hYW\b]eiY�"
Fonctionnement du pca : 5Wh]jUh]cb�WcbZcfaY�Uil�X�W]g]cbg" 9Z�WUW]h��XYg�dfcW�XifYg" 6cb�ZcbWh]cbbYaYbh�XYg�acXYg�dU``]Uh]Zg�Yh�
de secours.
Actions rapides et dans les temps impartis
XYg�X]ZZ�fYbhg�UWhYifg" 8]Z�Wi`h�g�hYW\b]eiYg�fYbWcbhf�Yg" B]jYUil�XY�gYfj]WYg"
gestion des ressources : Conditions de travail.
Disponibilité des ressources pour mettre en
œuvre le PCA.
Bon suivi de l’engagement des ressources.
Bonne utilisation des ressources nécessaires
pour le PCA.
:cbWh]cbbYaYbh�XYg�acmYbg�YlhYfbYg" FY`Uh]cbg�UjYW�`Yg�Zcifb]ggYifg�Yh�
sous-traitants.
gestion du retour à la normale : Anticipation.
Décisions au bon moment.
Disponibilité des ressources nécessaires.
Reprise des données.
Respect des délais.
7ccd�fUh]cbg�UjYW�̀ Yg�W`]Ybhg�Yh�Zcifb]ggYifg" 6cbbY�[Ygh]cb�XYg�U]XYg�Ã�bUbW]�fYg�Yh�XYg�
assureurs.
conclusions : Dc]bhg�dcg]h]Zg" Dc]bhg�b�[Uh]Zg" DfcV`�aYg�fYbWcbhf�g" 5lYg�X»Ua�`]cfUh]cb�WcbWYfbUbh�.
- Le PCA.
- @U�ZcfaUh]cb"- La préparation.
- Les relations avec les parties prenantes
YlhYfbYg"
page 2/2
75Guide pour réaliser un plan de continuité d’activité
les
Fich
es p
rati
qu
espo
urq
uo
i éla
bore
r u
n p
lan
de
con
tin
uit
é d
’act
ivit
é ?
com
men
t él
abo
rer
un
pla
n d
e co
nti
nu
ité
d’a
ctiv
ité
?le
s an
neX
es
1
2
3
4
notes
76Guide pour réaliser un plan de continuité d’activité
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
___________________________________________________________________________________________________________________
)% �Vci`YjUfX�XY�̀ U�Hcif!AUiVcif[75700 paris 07 sp
H�`"�.�$%�+%�+)�,%�,':Ul�.�$%�+%�+)�,&�$$
SECRÉTARIAT GÉNÉRALDE LA DÉFENSE ET DELA SÉCURITÉ NATIONALE