Version : 1.0
Date de rédaction : [JJ/MM/AAAA]
Propriétaire du document : [Nom, Fonction]
Classification : Confidentiel — Interne uniquement
- Décrire l'objectif du PCA : garantir le maintien des activités métiers essentielles de la solution SaaS pendant un incident majeur, y compris en mode dégradé
- Cyberattaque paralysant tout ou partie du SI
- Panne prolongée d'infrastructure cloud
- Catastrophe naturelle affectant les locaux ou le personnel
- Pandémie ou indisponibilité massive des équipes
- Défaillance d'un fournisseur ou partenaire critique
- Préciser que le PCA couvre l'ensemble des dimensions organisationnelles :
- Processus métiers critiques (onboarding, facturation, support client, delivery)
- Ressources humaines et compétences clés
- Moyens de communication internes et externes
- Engagements contractuels et obligations réglementaires
- Relations fournisseurs et partenaires
- Définir les limites d'exclusion (ex : reprise technique détaillée couverte par le PRA)
- Mentionner l'articulation avec le PRA (Plan de Reprise d'Activité) : le PCA orchestre la réponse organisationnelle globale ; le PRA constitue le volet technique de restauration des systèmes
- Définir la structure de la cellule de crise et sa composition :
- Sponsor exécutif (membre de la direction générale)
- Directeur de crise (pilote opérationnel de la continuité)
- Responsable communication (interne et externe)
- Représentant métier / Product Owner
- Responsable RH (gestion du personnel en situation de crise)
- Référent juridique et conformité
- Liaison technique (interface avec l'équipe PRA)
- Pour chaque rôle, indiquer :
- Le remplaçant désigné (et le remplaçant du remplaçant)
- Les coordonnées d'urgence accessibles hors SI (téléphone personnel, email alternatif)
- Le périmètre de décision autonome (ex : le Sponsor peut engager un budget exceptionnel)
- Préciser les règles de fonctionnement de la cellule :
- Critères d'activation (quand la cellule est convoquée)
- Lieu de réunion physique et/ou virtuel de repli (hors SI principal)
- Fréquence des points de situation pendant la crise
- Modalités de prise de décision (consensus, vote, décision unilatérale du Sponsor)
- Journalisation systématique des décisions prises et de leur justification
- Documenter l'analyse Business Impact Analysis sous l'angle des processus métiers, et non seulement des systèmes techniques
- Cartographier chaque processus métier par niveau de criticité :
- Tier 1 — Vital : processus sans lesquels l'entreprise ne peut fonctionner (ex : authentification client, service API cœur, facturation)
- Tier 2 — Essentiel : processus dont l'interruption cause un préjudice significatif sous 24h (ex : support client, onboarding, tableau de bord analytics)
- Tier 3 — Important : processus dégradables temporairement (ex : reporting interne, fonctionnalités secondaires)
- Tier 4 — Différable : processus suspendables sans impact immédiat (ex : roadmap produit, R&D, marketing automation)
- Pour chaque processus, documenter :
- Les ressources nécessaires : personnel, compétences, outils, données
- Les dépendances internes (autres processus) et externes (fournisseurs tiers)
- L'impact par tranche horaire d'indisponibilité : financier, contractuel (SLA), réglementaire, réputationnel
- Le MTPD (Maximum Tolerable Period of Disruption) : durée maximale d'interruption tolérable avant dommage irréversible
- Le niveau minimum de service acceptable en mode dégradé (MAO — Minimum Acceptable Output)
- Établir la matrice de dépendances croisées entre processus métiers et systèmes techniques (alimentation directe du PRA)
- Définir le MBCO (Minimum Business Continuity Objective) pour chaque processus critique :
- Quel volume minimal d'activité doit être maintenu pendant la crise ?
- Quelles fonctionnalités sont indispensables vs sacrifiables ?
- Définir le RTO organisationnel : délai maximal pour atteindre le mode dégradé opérationnel (distinct du RTO technique du PRA)
- Établir les niveaux de service dégradé par tier :
- Tier 1 : continuité immédiate, MBCO ≥ 80%, bascule en mode dégradé < 30 min
- Tier 2 : continuité sous 4h, MBCO ≥ 50%, procédures alternatives activées
- Tier 3 : continuité sous 24h, MBCO ≥ 30%, communication proactive aux utilisateurs
- Tier 4 : suspension autorisée, reprise à la fin de la crise
- Documenter les critères de passage entre les niveaux :
- Normal → Dégradé → Critique → Suspension
- Conditions de retour au niveau supérieur
- Valider formellement ces objectifs avec la direction, les équipes métiers et les clients clés (engagement contractuel si applicable)
- Identifier et classer par probabilité/impact les scénarios de perturbation de l'activité (vision organisationnelle, complémentaire à l'analyse technique du PRA) :
- Perte d'accès aux locaux (incendie, inondation, attaque, confinement)
- Indisponibilité massive du personnel (pandémie, grève, départ collectif, accident)
- Compromission du SI rendant les outils internes inaccessibles (ransomware, attaque supply chain)
- Défaillance d'un fournisseur SaaS critique (provider auth, paiement, CDN, monitoring)
- Rupture de la chaîne de communication (email, Slack, téléphonie inaccessibles)
- Crise réputationnelle majeure (fuite de données client, couverture médiatique négative)
- Perte de compétences clés (person dépendance sur un service critique)
- Pour chaque scénario, noter :
- Les signaux faibles et précurseurs détectables
- Les seuils d'activation du PCA (critères objectifs de déclenchement)
- L'enchaînement attendu des impacts organisationnels (cascade)
- Décrire pour chaque processus critique la stratégie de maintien d'activité retenue :
- Redondance organisationnelle : double compétence sur chaque poste clé, équipes réparties géographiquement, polyvalence planifiée
- Mode dégradé applicatif : feature flags pour désactiver les fonctionnalités non essentielles, passage en read-only, file d'attente des requêtes
- Procédures manuelles de substitution : processus alternatifs hors SI (ex : support par téléphone, facturation manuelle via tableur chiffré, onboarding par email)
- Bascule vers outils alternatifs : outils SaaS de secours pré-configurés (ex : Google Workspace si Microsoft 365 HS, Zoom si Teams inaccessible)
- Externalisation temporaire : recours à un prestataire externe pour absorber la charge (support, opérations)
- Pour chaque stratégie, préciser :
- Les conditions d'activation et de désactivation
- Les ressources nécessaires (humaines, matérielles, financières)
- Le niveau de service atteignable (MBCO)
- Le coût estimé de mise en œuvre et de maintien
- Les limites et risques résiduels
- Documenter les dépendances avec le PRA : quels processus nécessitent la restauration technique avant de pouvoir reprendre ?
- Rédiger les procédures opérationnelles étape par étape pour la gestion de la continuité :
- Détection et alerte : qui détecte, comment l'alerte est remontée, via quels canaux
- Évaluation initiale : grille d'évaluation de la gravité (mineur / majeur / critique), critères de déclenchement du PCA
- Activation de la cellule de crise : convocation, lieu de rassemblement (physique ou virtuel), première réunion de cadrage (< 30 min)
- Activation du mode dégradé : mise en œuvre des stratégies de continuité par processus, communication aux équipes internes
- Pilotage de la crise : points de situation réguliers, suivi des indicateurs de continuité, ajustement des stratégies
- Coordination avec le PRA : interface avec l'équipe technique pour suivre l'avancement de la restauration
- Sortie de crise : critères de retour à la normale, plan de remontée progressive des services, débriefing
- Fournir des arbres de décision visuels pour chaque point critique
- Préciser les points de validation obligatoires (go/no-go) avant chaque phase
¶ 8. Continuité des ressources humaines et des compétences
- Documenter la stratégie de continuité RH :
- Matrice de compétences critiques : quelles personnes possèdent des savoirs irremplaçables ?
- Plan de succession pour chaque rôle clé (au minimum 2 personnes qualifiées par fonction critique)
- Politique de télétravail d'urgence : équipements, accès VPN, procédures de connexion depuis un poste non maîtrisé
- Gestion des astreintes en période de crise prolongée (rotation, repos, charge psychologique)
- Prévoir les scénarios de perte massive de personnel :
- Seuil minimal d'effectif pour maintenir les opérations par service
- Accords cadres avec des prestataires de renfort (ESN, freelances pré-qualifiés)
- Procédures d'intégration accélérée de personnel temporaire
- Documenter les mesures de soutien au personnel pendant la crise :
- Cellule d'écoute psychologique
- Communication transparente sur la situation et les perspectives
- Aménagement des conditions de travail
- Cartographier les fournisseurs et partenaires critiques pour chaque processus métier :
- Fournisseurs cloud (AWS, GCP, Azure)
- Services SaaS tiers intégrés (authentification, paiement, email transactionnel, CDN, monitoring)
- Prestataires de services (support externalisé, conseil, audit)
- Partenaires commerciaux et revendeurs
- Pour chaque fournisseur critique, documenter :
- Le SLA contractuel et les pénalités en cas de rupture
- Le plan de continuité du fournisseur (exiger la communication de son propre PCA/PRA)
- La solution de substitution identifiée (fournisseur alternatif, solution interne de repli)
- Le délai de bascule vers l'alternative et les conditions de déclenchement
- Le contact d'urgence chez le fournisseur (support premium, account manager)
- Formaliser les clauses contractuelles de continuité :
- Droit d'audit du PCA/PRA du fournisseur
- Obligation de notification en cas d'incident affectant le service
- Clause de réversibilité et portabilité des données
- Établir la stratégie de communication à 360° pendant la crise :
- Communication interne :
- Message d'alerte initial aux collaborateurs (canaux principaux et de secours)
- Points de situation réguliers (fréquence, format, canal)
- Consignes opérationnelles claires (quoi faire, quoi ne pas faire)
- Gestion de la communication managériale (brief des managers pour relayer l'information)
- Communication clients :
- Notification proactive (email, in-app notification, status page, SMS si critique)
- Message d'information sur le mode dégradé et les fonctionnalités disponibles
- Engagement sur les délais de rétablissement (sans promettre de date ferme)
- Point de contact dédié pour les clients stratégiques
- Communication partenaires et fournisseurs :
- Notification des partenaires impactés
- Coordination opérationnelle si la crise affecte la chaîne de valeur
- Communication publique et réglementaire :
- Déclaration presse/réseaux sociaux si l'incident est public
- Notification aux autorités (CNIL sous 72h en cas de fuite de données, ANSSI si applicable)
- Information aux assureurs cyber
- Préparer des modèles de messages pré-rédigés pour chaque audience et chaque niveau de gravité
- Définir les canaux alternatifs si le SI est compromis (Signal, WhatsApp Business, téléphone, site web statique hébergé indépendamment)
- Préciser la chaîne de validation des messages (qui rédige, qui valide, qui publie)
- Maintenir un journal de communication horodaté pendant toute la durée de la crise
- Identifier les obligations contractuelles impactées par une interruption de service :
- SLA (Service Level Agreements) : seuils de disponibilité engagés, modalités de calcul, pénalités
- Engagements de délai (onboarding, support, livraison de fonctionnalités)
- Clauses de force majeure : conditions d'invocation, notification requise, effets juridiques
- Documenter les obligations réglementaires activées en cas d'incident :
- RGPD : notification CNIL sous 72h, notification des personnes concernées si risque élevé
- NIS2 : obligation de signalement aux autorités compétentes
- DORA (si secteur financier) : reporting aux régulateurs
- Obligations sectorielles spécifiques
- Préparer les éléments juridiques nécessaires :
- Modèle de notification de force majeure
- Modèle de communication CNIL
- Procédure de calcul des pénalités SLA et des crédits de service
- Dossier de preuves à constituer en temps réel (logs, captures, chronologie)
- Définir le rôle du référent juridique dans la cellule de crise et ses points de décision
- Documenter l'alignement du PCA avec les cadres normatifs et réglementaires :
- ISO 22301 (Systèmes de management de la continuité d'activité — exigence principale)
- ISO 22313 (Lignes directrices pour la mise en œuvre de l'ISO 22301)
- ISO 27001 (A.5.29 — Sécurité de l'information pendant une perturbation, A.5.30 — Préparation des TIC pour la continuité d'activité)
- SOC 2 (critère de disponibilité A1)
- RGPD (article 32 — mesures organisationnelles de sécurité)
- NIS2 (obligations de gestion des risques et de continuité)
- DORA (si applicable — tests de résilience opérationnelle numérique)
- Lister les preuves d'audit à produire et maintenir :
- Document BIA à jour et signé
- Matrices MBCO/RTO validées par la direction
- Comptes-rendus de revue de la cellule de crise
- Rapports d'exercices et tests (avec résultats et plans d'action)
- Registre des incidents ayant activé le PCA
- Preuves de formation et sensibilisation du personnel
- Indiquer la fréquence des audits internes (au moins annuel) et la date du prochain audit externe planifié
- Définir le calendrier de test du PCA :
- Exercice tabletop trimestriel : simulation sur table d'un scénario de crise avec la cellule de crise (test du processus décisionnel, de la communication, des arbres de décision)
- Exercice fonctionnel semi-annuel : activation réelle du mode dégradé sur un périmètre limité (test des procédures manuelles, des outils de secours, de la coordination inter-équipes)
- Exercice complet annuel : simulation intégrale incluant PCA + PRA, communication client réelle (ou simulée), activation de la cellule de crise en conditions réalistes
- Pour chaque type d'exercice, préciser :
- Les objectifs mesurables (ex : temps d'activation de la cellule < 15 min, MBCO atteint en < 1h)
- Les scénarios joués (rotation des scénarios pour couvrir l'ensemble des risques identifiés)
- Les critères de succès et d'échec
- Le format du rapport post-exercice (chronologie, écarts constatés, recommandations)
- Impliquer les parties prenantes clés (direction, équipes métiers, clients si applicable)
- Documenter les retours des exercices précédents et le suivi des actions correctives
¶ 14. Maintenance et amélioration continue
- Décrire le processus de mise à jour du PCA :
- Révision trimestrielle planifiée (a minima vérification des contacts, des procédures et de la cartographie des processus)
- Mise à jour immédiate après :
- Tout changement organisationnel significatif (nouvelle activité, réorganisation, départ d'une compétence clé)
- Tout incident ayant activé le PCA (intégration du retour d'expérience)
- Toute modification majeure de l'architecture technique (nouveau service, migration, changement de fournisseur)
- Toute évolution réglementaire impactant les obligations de continuité
- Revue annuelle complète avec validation par la direction générale
- Indiquer le responsable de la maintenance du document et le processus de validation des modifications
- Intégrer un processus d'amélioration continue basé sur :
- Les résultats des exercices (chapitre 13)
- Les retours d'incidents réels
- Les évolutions des bonnes pratiques et standards (ISO 22301)
- Les audits internes et externes
- Prévoir un registre des versions avec historique des changements
- Lister tous les contacts critiques pour la gestion de la continuité :
- Membres de la cellule de crise (nom, rôle, téléphone personnel, email alternatif, localisation géographique)
- Remplaçants désignés pour chaque rôle
- Direction générale et sponsor exécutif
- Responsables de chaque processus métier critique
- Contacts d'urgence des fournisseurs critiques (support premium, account manager, numéro 24/7)
- Prestataires de renfort identifiés (ESN, freelances, cabinets de conseil en gestion de crise)
- Autorités de régulation (CNIL, ANSSI)
- Assureurs cyber (numéro de déclaration de sinistre)
- Cabinet juridique externe
- Agence de communication de crise (si retenue)
- Stocker une version imprimée et une version numérique hors SI (clé USB chiffrée, coffre-fort physique)
- Mettre à jour cet annuaire à chaque révision trimestrielle du PCA
- Fournir une fiche réflexe synthétique (1 à 2 pages) pour chaque scénario de crise majeur :
- Scénario 1 — Ransomware / compromission du SI :
- Actions immédiates (isolation, coupure des accès, activation canaux alternatifs)
- Activation du mode dégradé (procédures manuelles, outils de secours)
- Communication (interne, clients, CNIL si fuite)
- Coordination avec le PRA (restauration technique)
- Scénario 2 — Panne cloud majeure prolongée (> 4h) :
- Évaluation de l'impact métier
- Activation des modes dégradés par processus
- Communication clients (status page, messages proactifs)
- Suivi de la résolution chez le fournisseur
- Scénario 3 — Indisponibilité massive du personnel :
- Activation du plan de succession
- Mobilisation des prestataires de renfort
- Priorisation des activités maintenues
- Communication interne et gestion RH
- Scénario 4 — Perte d'accès aux locaux :
- Bascule en télétravail intégral
- Vérification des accès distants
- Réorganisation des équipes
- Scénario 5 — Défaillance d'un fournisseur critique :
- Activation de la solution de substitution
- Notification aux clients impactés
- Suivi de la résolution et/ou migration
- Chaque fiche doit être utilisable de manière autonome par le directeur de crise
- Liste séquentielle des actions à effectuer pour la sortie de crise :
- Confirmation par l'équipe PRA que les systèmes sont restaurés et opérationnels
- Vérification de l'intégrité des données et des transactions effectuées en mode dégradé
- Réconciliation des données entre le mode dégradé et le système restauré (données saisies manuellement, files d'attente, etc.)
- Remontée progressive des services (par ordre de criticité, Tier 1 en premier)
- Test fonctionnel complet avant réouverture aux utilisateurs
- Communication de fin de crise aux collaborateurs, clients, partenaires
- Désactivation formelle de la cellule de crise
- Analyse post-crise (post-mortem organisationnel) :
- Chronologie complète de la crise
- Évaluation de l'efficacité des procédures activées
- Identification des écarts entre le plan et la réalité
- Bilan financier de la crise (coûts directs, pénalités SLA, crédits clients)
- Mise à jour du PCA avec les enseignements tirés (lessons learned)
- Planification des actions correctives avec responsables et échéances
- Définir tous les termes utilisés dans le document :
- BIA : Business Impact Analysis — Analyse d'impact métier
- MBCO : Minimum Business Continuity Objective — Niveau minimal d'activité à maintenir pendant la crise
- MAO : Minimum Acceptable Output — Production minimale acceptable en mode dégradé
- MTPD : Maximum Tolerable Period of Disruption — Durée maximale tolérable d'interruption
- RTO : Recovery Time Objective — Délai maximal de reprise (utilisé ici au sens organisationnel)
- RPO : Recovery Point Objective — Perte de données maximale admissible (traité dans le PRA)
- PCA : Plan de Continuité d'Activité
- PRA : Plan de Reprise d'Activité
- PAS : Plan d'Assurance Sécurité
- SLA : Service Level Agreement — Accord de niveau de service
- Mode dégradé : Fonctionnement à capacité réduite avec maintien des processus critiques
- Cellule de crise : Instance décisionnelle activée en situation d'urgence
- Feature flag : Mécanisme de bascule permettant d'activer/désactiver des fonctionnalités à chaud
- Force majeure : Événement extérieur, imprévisible et irrésistible, exonérant de responsabilité contractuelle
- ISO 22301 : Norme internationale pour les systèmes de management de la continuité d'activité
- SOC 2 : Framework d'audit de sécurité pour les fournisseurs de services
- RGPD : Règlement Général sur la Protection des Données
- NIS2 : Directive européenne sur la sécurité des réseaux et des systèmes d'information
- DORA : Digital Operational Resilience Act — Règlement européen sur la résilience opérationnelle numérique
- ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information
- CNIL : Commission Nationale de l'Informatique et des Libertés
- Ajouter les noms internes des services, processus métiers et outils utilisés dans l'organisation