La politique de continuité d'activité est le document de référence qui formalise l'engagement de la direction générale. Elle est obligatoire au sens de l'ISO 22301 (clause 5.2) et de la majorité des référentiels (DORA, NIS2). Format : 2 à 5 pages.

Contenu type :

• Engagement du dirigeant en matière de résilience et de continuité.
• Périmètre du SMCA / PCA (sites, activités, processus inclus).
• Objectifs généraux alignés avec la stratégie d'entreprise.
• Niveau de service à maintenir en situation de crise (MBCO).
• Appétence au risque de l'organisation (« nous tolérons une indisponibilité de 4 h pour les processus critiques »).
• Rôles et responsabilités de haut niveau (DG, BCM, RSSI, DSI, directions métier).
• Ressources et budget alloués.
• Engagements vis-à-vis des parties prenantes : clients, salariés, fournisseurs, régulateurs.
• Date de mise à jour et signature du dirigeant exécutif.

La politique doit être :

• Signée par le dirigeant exécutif (PDG, DG, président). Ce visa engage l'organisation.
• Communiquée à tous les salariés (intranet, livret d'accueil).
• Revue annuellement minimum.
• Cohérente avec les autres politiques (sécurité, conformité, qualité).

« Sans politique signée du PDG, le BCM travaille avec un mandat fragile. La politique est l'outil politique du BCM — au sens noble du terme. »

— Guide AFNOR sur le déploiement ISO 22301, 2023

Le PCA définit une organisation de crise distincte de l'organisation nominale. Structure type :

• Cellule de Décision Stratégique (CDS) — composée du Comité de Direction restreint. Pilote l'organisation pendant la crise, prend les décisions majeures (engagement budgétaire, communication externe, négociations).
• Cellule de Coordination Opérationnelle (CCO) — pilote l'exécution opérationnelle : BCM, RSSI, DSI, responsables métier critiques. Coordonne les actions terrain.
• Cellule Technique — équipes IT, RSSI, prestataires techniques. Gère la reconstruction technique.
• Cellule Communication — porte-parole, équipe communication, externe et interne. Gère les messages aux clients, salariés, médias, autorités.
• Cellule Juridique & Conformité — direction juridique, DPO. Gère les notifications (CNIL, ACPR, ANSSI), les contrats, les actions en justice.
• Cellule Ressources Humaines — DRH. Gère la disponibilité du personnel, le télétravail, les remplacements, le soutien psychologique.
• Cellule Métiers — responsables métier impactés. Pilotent la reprise dans leurs services.
• Cellule Logistique — direction des moyens généraux. Gère locaux, transport, restauration de l'équipe de crise.

Chaque cellule a :

• Un responsable nommément désigné (titulaire) et un suppléant.
• Un poste de travail dédié dans la salle de crise (PCO — Poste de Commandement Opérationnel).
• Une fiche de mission détaillée.
• Des moyens de communication dédiés (téléphones d'astreinte, talkie-walkie, salle visioconférence).

Astreintes : pour les organisations critiques, mise en place d'astreintes 24/7 du BCM et des responsables techniques. Roulement organisé, primes adaptées, formation à la décision en situation dégradée.

La fiche réflexe est le document que l'on consulte en situation de crise. Elle décrit, par scénario et par rôle, les actions à mener dans l'ordre. Une fiche réflexe efficace tient sur 1 à 2 pages, format A4 imprimable, et utilisable même dans le stress et l'urgence.

Caractéristiques d'une bonne fiche réflexe :

• 1 scénario, 1 rôle : une fiche par combinaison scénario/responsabilité.
• Actions séquentielles numérotées (1, 2, 3...).
• Délais et seuils explicites (« dans les 5 premières minutes », « si l'incident dépasse 4 h »).
• Décisions à prendre clairement identifiées (« dois-je déclencher le PRA ? Si oui... »).
• Coordonnées à contacter (téléphone d'astreinte, mail).
• Critères d'escalade (« si X, alors je préviens Y »).
• Templates de communication intégrés.
• Visuelle : pictos, surlignages, structure claire.

Exemple — fiche réflexe « Détection ransomware » par le RSSI :

1. T+0 : isoler immédiatement les machines suspectes (déconnexion réseau).
2. T+5 min : informer le BCM et la DSI par téléphone d'astreinte.
3. T+10 min : activer la cellule technique de crise.
4. T+15 min : déclencher la coupure complète du SI si propagation rapide (décision DSI).
5. T+30 min : notifier l'ANSSI via CERT-FR (mail dedicate, numéro hotline).
6. T+1 h : convoquer la Cellule de Décision Stratégique pour décider du déclenchement PCA / PRA.
7. T+4 h : notifier la CNIL si données personnelles compromises (article 33 RGPD, 72 h max).
8. T+24 h : préparer notification NIS2 (entité essentielle).

Les fiches réflexes sont imprimées et conservées dans la salle de crise, dans les bureaux des cadres concernés, et accessibles sur smartphone (application PCA, PDF dans drive personnel). En cas de cyberattaque, l'accès numérique peut être indisponible — l'impression papier reste cruciale.

Un PCA doit clairement définir qui peut déclencher l'alerte et les phases de crise. Procédure type :

1. Phase 0 — Vigilance / Pré-alerte : événement anormal détecté. Information du BCM et de la direction. Pas encore de cellule de crise.
2. Phase 1 — Alerte locale : événement maîtrisable par les équipes opérationnelles. BCM active une cellule de crise restreinte. Évaluation rapide.
3. Phase 2 — PCA déclenché : événement nécessite la mobilisation organisationnelle complète. Cellule de Décision Stratégique convoquée. Communication interne.
4. Phase 3 — Communication externe : selon décision CDS. Notification clients, médias, autorités.
5. Phase 4 — Reprise progressive : retour à la normale par paliers.
6. Phase 5 — Fin de crise et RETEX : dissolution de la cellule, retour d'expérience formalisé.

Critères de déclenchement à formaliser pour chaque scénario :

• Seuils techniques (ex : indisponibilité > 30 min d'une application critique).
• Seuils business (ex : 100 commandes en attente, pic de plaintes clients).
• Seuils externes (ex : alerte officielle ANSSI/CERT-FR sur un éditeur critique).
• Décision discrétionnaire d'un responsable habilité.

Qui peut déclencher ? Liste habituelle :

• BCM (responsable PCA) — déclenchement opérationnel.
• Directeur Général ou son suppléant — déclenchement stratégique.
• RSSI — pour les scénarios cyber.
• Astreinte d'exploitation — pour les scénarios techniques.
• Manager d'astreinte — selon le niveau de gravité.

Le déclenchement doit pouvoir être réversible (« on rappelle l'alerte ») si la situation se stabilise avant escalade. Ne jamais hésiter à déclencher trop tôt — un faux positif coûte moins cher qu'une réaction tardive.

Les annexes du PCA regroupent les informations opérationnelles nécessaires à l'exécution. Catégories essentielles :

• Annuaire de crise : noms, fonctions, téléphones d'astreinte, mails, mails personnels (en cas de perte d'accès au mail pro), de tous les membres des cellules de crise. Tenu rigoureusement à jour.
• Contacts externes : ANSSI/CERT-FR, CNIL, ACPR, AMF, prestataires d'intervention cyber (CSIRT externes : Solucom, Wavestone, Synacktiv, Orange Cyberdefense, Stormshield), avocats, assurances, banque.
• Contacts fournisseurs critiques : hôtline 24/7 (Microsoft, AWS, Azure, GCP, OVH, etc.), responsables grand compte, contrats SLA.
• Plans des locaux : datacenter, sites de secours, points d'évacuation, zones sécurisées.
• Plans techniques : architecture SI, dépendances, schémas réseau, inventaire applications critiques.
• Procédures techniques détaillées : guide bascule PRA, restauration sauvegardes, redémarrage applications, tests post-bascule.
• Templates de communication : SMS, mail, communiqué de presse, post réseaux sociaux, notification CNIL/ANSSI.
• Référentiels et certifications : copie ISO 22301, RGPD, NIS2, DORA, politiques internes.
• Contrats clés : assurance cyber, garanties fournisseurs, conventions inter-sites.
• Liste des biens essentiels à protéger : matériel sensible, archives, signatures officielles.
• Procédures financières de crise : autorisation de dépenses exceptionnelles, comptes bancaires, pouvoirs de signature.

Les annexes représentent typiquement 50 à 70 % du volume du PCA. C'est normal : c'est là que se trouvent les informations opérationnelles. Le corps du PCA reste, lui, court et stratégique.

Les pièges fréquents dans la rédaction d'un PCA :

• Volume excessif : un PCA de 500 pages n'est pas un PCA, c'est un encyclopédie. Personne ne le lira en situation de stress. Visez 50-100 pages corps + annexes ciblées.
• Jargon technique : le PCA doit être compréhensible par tous les membres de l'équipe de crise, pas seulement par les techniciens. Éviter les acronymes non expliqués.
• Procédures déconnectées de la réalité : un PCA rédigé par un consultant externe sans validation terrain est souvent inapplicable. Les opérateurs ne reconnaissent pas leurs outils.
• Pas de scénario clair : sans scénarios concrets (« incendie datacenter », « ransomware », « grève », « pandémie »), le PCA reste générique et inutilisable.
• Pas de tests : un PCA non testé est un PCA fictif. Voir Module 4.
• Annuaire obsolète : si les téléphones d'astreinte sont périmés, tout le dispositif s'effondre. Revue trimestrielle minimum.
• Pas de version papier : en cas de cyberattaque, le PCA numérique peut être indisponible. Toujours imprimer.
• Pas d'accès pour les suppléants : si seul le titulaire connaît le PCA, son absence bloque tout.
• Pas de mise à jour : un PCA non maintenu est obsolète à 50 % en 2 ans.
• Mauvais sponsorship : sans engagement de la direction, le BCM travaille contre les courants. Le COMEX doit être visible dans le dispositif.

« Le meilleur PCA est celui qui tient en 50 pages et qui a été testé 3 fois. Le pire est celui qui fait 500 pages, n'a jamais été lu et dont l'annuaire est obsolète. »

— BCM d'un grand groupe industriel français, interview 2024