Le Plan de Continuité d'Activité (PCA) — en anglais Business Continuity Plan (BCP) — est l'ensemble des dispositions documentées permettant à une organisation de maintenir ou rétablir ses processus métier critiques à un niveau acceptable, dans des délais maîtrisés, après la survenance d'un événement perturbateur.

Le PCA couvre tous les aspects de l'organisation :

• Processus métier : production, commercial, RH, finance, juridique.
• Ressources humaines : disponibilité du personnel, télétravail, remplacements.
• Locaux : sites de secours, repli, télétravail généralisé.
• Systèmes d'information : c'est le périmètre du PRA inclus.
• Fournisseurs critiques : continuité des approvisionnements.
• Communication interne et externe : salariés, clients, médias, autorités.
• Logistique et infrastructure : transport, énergie, télécoms.

« Le PCA n'est pas un classeur sur une étagère. C'est l'état permanent de préparation d'une organisation à faire face aux scénarios prévisibles d'interruption. »

— ISO 22301:2019, introduction

Le PCA s'inscrit dans une logique « business-first » : on part des processus métier critiques (ceux dont l'arrêt menace la survie de l'organisation) puis on remonte aux ressources nécessaires (humaines, techniques, immobilières) pour les soutenir. Cette approche évite le travers fréquent du « tout-informatique » où l'on construit des PRA techniques sans avoir d'abord identifié les besoins métier.

Le Plan de Reprise d'Activité (PRA) — en anglais Disaster Recovery Plan (DRP) — est le volet technique informatique du PCA. Il décrit précisément comment :

• Restaurer les systèmes d'information après un sinistre (datacenter détruit, cyberattaque, panne majeure).
• Recréer l'environnement technique sur un site de secours.
• Récupérer les données à partir des sauvegardes.
• Reconnecter les utilisateurs aux applications critiques.
• Tester régulièrement la procédure.

Le PRA traite des questions très techniques : architecture du site de secours, réplication synchrone ou asynchrone, fréquence des sauvegardes, durée de restauration, capacité de bascule (failover), etc. Il est rédigé par les équipes IT (DSI, infrastructure, sécurité) et opéré sous la responsabilité du RSSI ou du directeur infrastructure.

Sans PRA testé, un PCA n'est qu'un document théorique : la quasi-totalité des processus métier modernes dépend d'au moins une application informatique critique (ERP, CRM, e-commerce, GMAO, paie). L'incident OVHcloud SBG2 de mars 2021 (3,6 millions de sites web rendus inaccessibles) a démontré qu'une absence de PRA peut conduire à la fin d'une entreprise.

La norme ISO 22301, version 2019 en vigueur, intitulée « Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences », est la norme internationale de référence pour les SMCA (Systèmes de Management de la Continuité d'Activité).

Caractéristiques :

• Structure haut niveau (HLS) commune à toutes les normes de management ISO : facilite l'intégration avec ISO 9001 (qualité), ISO 27001 (sécurité de l'information), ISO 14001 (environnement).
• Approche PDCA (Plan-Do-Check-Act) — démarche d'amélioration continue.
• Certifiable par audit tierce partie (AFNOR Certification, BSI, Bureau Veritas, SGS).
• Reconnue mondialement — équivalente aux normes nationales BS 25999 (UK, historiquement), AS/NZS 5050 (Australie).
• ~ 2 300 organismes certifiés en France au 1er janvier 2025, ~ 15 000 dans le monde.

La famille ISO comprend également plusieurs normes complémentaires :

• ISO 22313 — guide d'utilisation de la 22301.
• ISO 22317 — guide BIA (Business Impact Analysis).
• ISO 22318 — continuité de la chaîne d'approvisionnement.
• ISO 22320 — gestion des urgences.
• ISO 22398 — exercices et tests.
• ISO 27031 — TIC (technologies de l'information et communication) pour la continuité d'activité.

« La certification ISO 22301 est passée d'un nice-to-have à un must-have pour les entreprises soumissionnant à des appels d'offres publics ou aux grandes entreprises clientes. Elle est devenue, comme ISO 9001 et ISO 27001, un visa de crédibilité. »

— Étude AFNOR Compétences sur les certifications managériales, 2024

Plusieurs certifications professionnelles individuelles existent pour les praticiens :

• ISO 22301 Lead Implementer (PECB, AFNOR) — pratique du déploiement, 5 jours.
• ISO 22301 Lead Auditor (PECB, AFNOR) — pratique de l'audit, 5 jours.
• MBCI (Member of the Business Continuity Institute) — référence britannique internationale.
• CBCP (Certified Business Continuity Professional) — DRI International, américaine.
• CISA (Certified Information Systems Auditor) — ISACA, généraliste audit IT incluant continuité.
• CISM (Certified Information Security Manager) — ISACA, management sécurité incluant continuité.

Une démarche PCA mobilise transversalement toute l'organisation. Acteurs typiques :

• Comité de direction (CODIR) : sponsor, valide la politique de continuité, alloue les budgets, arbitre les niveaux d'exigence (RTO/RPO).
• Responsable PCA (Business Continuity Manager — BCM) : coordonne la démarche, mobilise les contributeurs, anime les exercices. Peut être un cadre dédié ou une mission portée par le RSSI, le Risk Manager ou le directeur production.
• Risk Manager (AMRAE — Association pour le Management des Risques et des Assurances de l'Entreprise) : analyse les risques, suit le portefeuille de scénarios.
• RSSI (Responsable Sécurité des Systèmes d'Information) : pilote le volet cybersécurité et le PRA.
• DSI (Directeur des Systèmes d'Information) : architecte du PRA, opère les sites de secours.
• DPO (Délégué à la Protection des Données) : veille au respect du RGPD en cas de crise.
• Responsables métier : participent au BIA, valident les RTO/RPO de leurs processus.
• Direction des Ressources Humaines : pilote la continuité humaine (télétravail, remplacements, formations).
• Direction Communication : pilote la cellule de communication de crise.
• Direction Juridique : suit la conformité, l'engagement de responsabilité, les contrats fournisseurs.
• Direction Financière (DAF) : pilote l'assurance, calcule les pertes potentielles, défend les budgets.

Cette pluridisciplinarité est structurelle du PCA : aucun service ne peut le porter seul. C'est pourquoi le sponsorship du COMEX est non négociable — sans engagement de la direction, un BCM s'épuise face à des résistances services.

La norme ISO 22301 structure le SMCA selon le cycle PDCA (Plan-Do-Check-Act), démarche d'amélioration continue popularisée par Deming dans les années 1950. Application au PCA :

Le PDCA implique que le PCA n'est jamais terminé. Il est vivant : il évolue avec l'organisation (nouveaux produits, nouveaux sites, nouvelles menaces), il s'enrichit des retours d'expérience (incidents survenus, exercices ratés), il monte en maturité (de la simple procédure documentaire à un système certifié ISO 22301).

Une organisation qui finance la rédaction d'un PCA en une fois sans en assurer le maintien gaspille son argent : à 2 ans, un PCA non maintenu est obsolète à plus de 50 % selon une étude Continuity Central 2023 (changements organisationnels, applications, fournisseurs, personnes-clés).